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储 值 支付 工具 挂牌 人 监管 的 应 用 膏 明 
































1.1. 香港 金融 管理 局 (金管 局 ) 施 出 的 《 储 值 支付 工具 持 牌 人 监管 指引 》(《 指 

51)) 列 载 金管 局 在 评 核 储 值 支付 工具 持 牌 人 是 否 送 当 人 站 时 所 探 用 的 
屠 次 监管 原则 。 和 为 使 持 牌 人 更 了 解 应 用 《指引 》 所 载 原则 的 标准 ， 
金管 局 会 在 有 需要 时 发 出 ( 储 值 文 付 工具 持 牌 人 监管 的 应 用 褒 明 兴 (应 
用 说 明 》)， 就 《指引 》 的 特定 章节 提供 附加 指导 。 
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1.2. 持 牌 人 应 视 《 应 用 底 明 》 为 在 典型 的 情况 下 可 如 何 符合 某 项 原则 性 规 
定 的 具体 放 明 。 持 牌 人 应 淫 微 理解 有 了 关 指 导 ' 站 在 考虑 其 具体 情 沉 和 合 ， 
痪 竺 调整 其 管控 制度 以 遵守 《指引 》 的 规定 *。 《应 用 褒 明 》 应 与 《 指 
5 引 》 的 有 关 章 节 及 金管 局 不 时 发 出 的 有 关 《 常 网 问题 》 一 儒 阅 读 。 



















































































































































































1.3. 为 免 引 起 疑问 ， 有 关 储 值 支 付 工具 持 牌 人 的 监管 规定 载 谁 《 文 付 系统 
及 储 值 支付 工具 人 条 例 》(《 支 付 人 条 例 》) 及 《指引 )。 踊 然 《 应 用 膏 明 》 
可 协助 持 牌 人 更 充分 了 解 如 何 遵 从 有 关 规 定 ' 但 不 会 姿 贺 或 取代 该 等 
文件 内 的 任何 人 条文。 







































































1.4. 此 《应 用 说 明 》 只 列 载 有 发 出 附加 指导 的 《指引 》 的 特定 章节 。 人 金 
局 日 后 可 能 会 在 有 需要 时 修改 现 有 附加 指导 ， 或 就 《指引 |》 的 另 一 
章节 增发 附加 指导 ， 姜 以 修订 《应 用 诊 明 》 的 形式 发 佩 。 由 於 资源 所 
限 ， 轻重 绥 急 便 基 於 持 有 牌 人 提出 的 意见 及 其 实际 经 验 而 足 。 
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3， 企 业 管 治 


《指引 》 第 3.2 人 条 一 企业 管 治 

人 阁 312 背包 人 须 育 戎 蚀 jy 短 汽 殊 承 ,以 项 /有 育 残 关 身 :以 及 妆 毒 答 
32.7 琵 尺 入 以 太 尖 六 诡 大 生 的 邮 失 " 及 六 之 B 信 外 后 关 听 了 
忽 缔 条 租 ， 并 和 有 有 ) 注 巧 浴 祈 `、 和 县 兢 功 民 尺 入 议 鸭 悦 其 PB， 并 
以 硼 方 恼 尖 身 疹 户 、 历 巷 汇 注 、 帮 天 阴 藻 及 所 前 不 访 19 汇 府 文 
La 














附加 指 半 




























































































































































































































































































































































































































































































(a) 作为 稳健 的 管 治安 排 的 一 部 分 ， 持 牌 人 应 制定 操守 准则 ， 列 明 
管理 层 及 员工 应 有 的 诚信 和 操守 标准 ， 以 及 有 了 关 其 行政 编 裁 、 
董事 及 经 理 须 按照 《支付 条例》 符合 衣 当 人 侈 的 相关 人 条 件 。 持 
牌 人 亦 应 设 有 周全 制度 以 落实 执行 其 操守 准则 。 
(b) 持 订 人 应 对 有 关 管 治安 排 及 风险 管理 与 内 部 管控 制度 是 售 周 
全 及 有 效 ， 定 期 进行 风险 为 本 的 独立 评估 。 而 持 牌 人 应 至 少 每 
年 一 次 对 其 运作 涉及 的 主要 风险 环节 进行 自我 评 佑 ， 以 决定 上 
述 该 独立 评估 的 范 园 及 次 数 。 
人 阁 317 籽 华 人 的 曾 稻 局 座 基 籽 化 人 的 授 贞 区 1J 工 旧 的 乱 健 列 f 所 终 每 
2 厦 入 刻 钠 广 谍 经 其 他 。 办 L， 赋 化 人 军 胃 局 fH 其他、 组 缕 `、 斑 
侨民 级 友和 胜 若 窟 因 入 RMUKf 网 。 
附加 指 半 (a) 持 牌 人 的 董事 局 一 般 应 决定 其 希 构 、 组 成 及 职 真 秀 围 ,但 
岛 砍 保 储 值 支付 工具 业务 的 稳健 过 作 及 得 到 害 慎 管理 , 董 
事 局 的 职责 一 般 包括 但 不 限 於 以 下 各 项 : 








GD ” 设 定 持 牌 人 的 日 标 、 
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风险 承受 度 及 企业 价值 砚 ， 以 
及 批准 过 到 该 等 日 标的 策略 ， 使 公司 能 维持 於 有 


天 
风险 承受 水 平 之 内 及 秉持 有 了 关 企 业 价 值 观 ; 





























GD 














批准 主要 政策 ,以 建立 强 而 有 力 的 风 


险 管 治 及 有 效 
的 管控 制度 ， 从 而 使 持 牌 人 透 殖 揉 用 稳健 而 审慎 的 
做 法 ， 以 安全 及 有 效率 的 方式 运作 ; 


















































































































































Gi 监督 高 级 管理 层 员工 的 表现 ， 以 确保 他 们 按照 经 批 
准 的 政策 履行 其 职责 ， 站 在 其 次 授 的 权力 夭 围 内 属 
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行 其 职责 ; 以 及 























(iv) ”确保 有 效 设立 主要 管控 部 门 (包括 但 不 限 於 业务 操 






































计 )， 及 其 具 充 分 独立 人 性， 不 受 业 务 部 门 影响 。 





人 阁 313 章 鼻 局 悦 方 亿 蓝 人 数 有 到 镁 党 1 成 每 狗 合 :以 再 傣 育 丰 丰 钢 附 
3.2.3 人 入 以 训 A7N 训 :以 fFLNH 有 台 尺 谷 其 #1 尖 策 。 各 顽 幸 军委 局 4 
和 谋 尺 组 成 克 玫 本 牧人 的 歼 职 旋光 禾 民 尼 不 沫 户 从 生 天 毅 膨 
历 育 所 不 厅 。 估 短 友 多 序 克 丰 秽 网 的 一 比 真 淮 ' 章 下 悄 鳃 入 说 

序 二 分 之 一 的 成 己 订 广大 涩 订 站 要 。 







































































附加 指导 (a) 若 持 牌 人 能 向 金管 局 语 明 站 令 金 管 局 确信 , 基 於 其 结构 及 

情况 持 牌 人 区 以 或 无 法 夏 格 遵守 有 关 《 指 引 》, 金管 局 可 
考虑 接受 蔡 代 安 排 ， 而 有 关 安 排 需 具有 相同 效力 ， 可 确保 
董事 局 内 有 充足 制衡 及 集体 专门 知识 。 
















































































(b) 在 考虑 某 人 是 个 合资 格 及 送 合 担任 (或 悉 续 担任 ) 独立 非 
执行 董事 时 ， 持 牌 人 应 评估 该 人 人 是否 具备 所 必要 的 独立 
性 。 举例 来 说 ， 相 关 评 估 因 素 包 括 : 





















































(i) 该 人 在 该 持 牌 人 或 其 股东 控 权 人 ( 按 《 文 付 休 例 》 的 定 
义 放 集团 公司 或 附属 公司 的 持 股 量 或 金融 交易 (如 有 ); 





























(ii) 该 人 最 近 曾 否 为 该 持 牌 人 或 其 股东 控 权 人 ( 按 《 文 付 人 条 
例 》 的 定 未 )、 集团 公司 或 附属 公司 的 候 员 、 主管 人 员 
或 董事 ( 猫 立 非 扫 行 董事 除外 ) ， 






































( 诈 该 人 与 持 牌 人 或 其 股东 控 权 人 ( 按 《 文 付 人 条例》 的 定 
义 )、 集团 公司 或 附属 公司 是 否 有 任何 重大 业务 关 像 ， 
或 从 该 持 牌 人 或 其 股东 控 权 人 ( 按 《 文 付 休 例 》 的 定 
未 )、` 集团 公司 或 附属 公司 收取 任何 大 颌 请 仅 ， 惟 就 担 
任 锋 立 非 执行 董事 提供 服务 而 收取 的 酬金 除外 ， 




































































(iv) 该 人 与 持 牌 人 或 其 股东 控 权 人 ( 按 《 文 付 人 条例》 的 定 
义 )、` 集团 公司 或 附属 公司 是 否 有 任何 察 密 关 连 ; 以 及 






































(v) 该 人 是 否 有 任何 会 引致 利益 衙 突 的 角 式 。 


















































(c) 持 牌 人 应 确保 独立 非 执行 董事 东非 其 主管 人 员 之 一 ， 亦 不 
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趴 日 常 管理 ; 包括 但 不 限 於 参与 其 管理 恬 级 别 的 委员 


























只 只 
。 六 



























































































































































































































































《 产 317 之 盘 局 的 村 人 吉 人 的 形 以 大 人 J 迟 名 自 及 谍 终 苗 他 ;WT 委 他 诺 岂 的 ] 
.25 售 坦 屋外 修 所 类 瑚 态 人 尺 方 避 入 地 fH 大 媒 , 余 盘 局 座 绝 扁 纹 管 
政 届 局 谱 ( 扁 纹 入 珊 局 | 舍 / 握 ' 以 伟 到 上 殉 朋 大 ' WN 扁 雏 管 现 襄 
角 / 加 引 笋 局 入 苏 。 
附加 指导 (a) 正如 《指引 》 第 3.2.2 段 的 附加 指导 所 载 ， 董 事 局 在 履行 
其 职责 时 ， 可 向 高 级 管理 层 下 放送 帝 权 力 ， 但 应 设 有 有 效 
安排 ， 湾 董事 局 可 评 核 高 级 管理 层 的 表现 ， 站 就 未 能 令 人 
渍 意 的 表现 向 其 问 责 。 
《 闸 317 启 级 管 吏 让 入 黄 太 搞 茵 盘 局 说 入 的 类 玉 人 筑 驻 、 夏 俩 ` 克 讼 催 受 
3.2.6 大 严 尺 病 JEHI 找 力 ， 方 玉 尺 每 振 衣 售 乾 村 超人 的 类 议 。 
附加 指导 (一 般 而 言 ， 除了 别 的 以 外 ， 高 级 管理 层 应 负责 以 下 职责 : 

































































() ”提出 业务 计划 、 政 策 、 主要 表现 指标 及 风险 限额 的 建 
议 供 董事 局 密 议 及 批准 ; 






































(i) ”制定 稳健 的 管控 制度 ， 有 了 关 制 度 一 般 应 涵盖 通 当 的 
职责 大 分 、 清 晰 的 责任 分 配 及 授权 、 充 足 的 内 部 豪 制 
及 对 帐 、 有效 及 六 时 的 资讯 科技 系统 及 管理 资讯 系 
统 、 稳 有 的 员工 招募 、 培 训 及 评 核 计划 ， 以 及 独立 的 
内 部 审计 及 合 规 部 门 ; 以 及 


















































ll 












































Gii) 和 根据 董事 局 批 在 的 业务 策略 、 风 险 承 受 度 及 政策 , 制 
定 有 效 的 风险 管理 制度 ， 以 管理 持 牌 人 的 业务 活动 
所 引起 的 不 同 能 暑 的 风险 。 

































































《指引 》 第 33 人 条 一 


( 译 317 
302 
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高 级 人 员 及 控 权 人 须 为 送 当 人 淡 














喜 笋 及 方 夏 狗 沉 
oo 须 汗 请 克 ,友信 在 部 手 有 人 在 二 总 学 
议 化 的 薄 千 人 人 汐 赔 ， 合 考 古 丰 就 店 乃 能力。 一 就 历 言 ， 洽 傅 秦 

















专访 篇 物 襄 ， 加 为 米 力 尺 名 之 针 生字 BF 地 硬 局 好 ， 
众生 部 厄 总 等 人 工 狗 鸭 恼 阴 撒 芭 /7 工 和 美玉 不 人 克 丰 说 让 及 
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附加 指 半 


议 尖 1 而 蒂 天 功略 。 施 和 于 耻 人 MM 类 下 般 磺 用 怖 筑 想必 历 ， 
方 盛 人 工 说 全 多方 厄 要 天 鼻 什 到 4 本 准 命 有 PINJ) 。 


(a) 


(b) 








和信 大 对 
| 





局 不 





评 核 茶 人 的 诚信 时 ， 

















已 





条 ~ 
僧 < 
































事件 或 


所 有 相关 情 沉 ， 





























般 会 审核 是 否 有 任何 有 
f 宜 会 令 人 迟疑 其 诚实 正直 。 趴 然 未 能 弓 列 
昌 在 以 下 上 典型 情 沉 中 ， 有 了 关 人 士 须 向 金 



































引起 疑问 : 


() 


GD 


Giii) 


(iv) 


(v) 有 记 儿 显 示 该 人 曾 作 为 已 清 硫 














CU 


















































Tt 





管 局 证 明 普 令 其 确信 有 了 关 情 况 不 会 对 该 人 的 诚实 及 正直 

















该 人 曾 说 任何 蜂 管 机 构 或 专业 团体 对 其 控 取 纪律 


行动 (如 谴 真 


该 


该 人 为 未 解除 破产 债务 的 破产 人 、 现 正 难 行 破产 程 





























人 曾 被 判 犯 刑 事 腓 行 ， 











` 可 款 及 暂时 钙 销 牌照 ) ， 
































序 或 用 
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和 
上 届 








产 记 录 ， 



































人 曾 被 法 隆 或 其 他 主管 党 


l 











或 失当 行 篇 ; 















































业务 的 控 权 人 、 行 政 编 裁 、 


(VD 


该 人 从 事 法 例 规定 需要 特定 牌照 、 广 册 或 其 他 授权 


























事 或 经 生 ， 








以 及 











的 业务 或 专业 的 权利 被 拒绝 或 限制 。 








人 和信 大 对 
v 








可 不 











评 核 茶 人 的 能 力 时 ,会 





过 已 























里 经 








验 、 
知识 ， 以 及 监管 知识 。 人 金管 局 亦 会 审核 是 否 有 任何 可 能 会 











考虑 该 人 的 行业 和 经验、 管 





学 历 及 专业 资格 、 对 储 值 支付 工具 营建 及 产品 的 






























































能 屠 列 所 有 相关 情况 ， 但 厂 

















令 人 使 疑 其 能 力 或 领导 才能 的 纪 人 、 引 
































E 以 下 典型 情 沉 中 ,有关 人 士 须 




















件 或 于 





窒 。 吹 然 未 



































向 金 
起 疑 
(GD 


(11) 


(111) 











问 : 














人 和 


管 局 证 明 站 令 其 确信 有 了 关 人 情况 不 会 对 该 人 的 能 力 引 























该 人 曾 因 不 称职 、 眠 忽 或 

















A 
Say 


由 组 织 或 监管 机 构 纪 人 律 签 














该 人 曾 因 不 称职 、 趾 包 或 管 























EE 
上 





处 ; 











EB 不 善 而 被 专业 团 租 、 



































里 不 善 而 从 任何 立 位 或 

















职位 被 撤职 或 被 要 求人 兴 任 何 疝 位 或 职位 侠 职 ， 


该 人 为 未 解除 


























产 俩 务 的 表 


产 人 、 更 正 进 行 破产 程 

















2022 年 3 月 
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序 或 有 破产 记 儿 ，; 



































(iv) ”有 记录 显示 该 人 曾 作 为 已 清盘 或 优 力 仅 债 的 公司 
或 业务 的 控 权 人 、 行 政 编 裁 、 董 事 或 经 理 ; 以 及 












































(v) “该 人 从 事 法 例 规定 需要 特定 牌照 ` 主 册 或 其 他 授权 
的 业务 或 专业 的 权利 被 拒绝 或 限制 。 



































金管 局 在 考虑 有 关 个 案 时 ,会 考虑 到 事件 的 性 质 与 岂 重 程 
度 ` 有关 人 士 在 事件 中 的 角色 及 责任 ' 以 及 有 关 人 士 自 事 
件 发 生 以 来 所 探 取 的 行动 及 作出 的 改进 等 因素 。 金 管 局 会 
要 求 有 关 人 士 解 秋 为 何 该 等 纪录 、 事 件 或 事宜 丫 不 有 反映 其 
能 力 不 足 ' 或 其 俊 作 出 了 其 麻 行 动 以 提升 其 能 力 。 






















































































































































































{ 阁 317 在 友人 
2433 





下 部 万 砍 共和 在 否 镁 合 人 园 赔 ' 庆 要 考 司 克 焉 之 一人 在 奉 队 人 蔷 
广 恼 于 嘉 扼 万 青玉 源 正 扼 历 前 罗列 页 的 海 让 村 吏 。 入 - 淘 需 要 
薛 艳 人 完 太 疾 和 承 必 1%y 伟 次 天 欧 旧 。 一 八 族人 它 生 不 葵 人 鞠 耻 外 人 人 
的 六 他 思 直 A :者 下 了 亚 人 行伍 浴 和 万 要 光 Ay 磺 光 帮 多吉 误 " 共 
伙 人 和 在 否 怖 意 用 育 通 力作 丰 做 附 揣 人 及 答 殉 大 属 卫 合 大 :办 在 
和 


























附加 指 半 (a) 在 评 核 持 牌 人 的 控 权 人 申请 人 的 潜在 影响 力 时 所 考 看 的 
因素 包括 





























GD ” 相 比 其 他 现 有 股东 控 权 人 ， 申 请 人 所 建议 的 持 股 


ES 。 
» 





al 


























(Gi) ”将 会 被 提名 代表 申请 人 的 董事 数目 ; 





ES 











Gib ”申请 人 琴 求 成 岛 控 权 和 人 的 目的 ;例如 维持 持 牌 人 的 
现状 或 对 持 牌 人 的 业务 策略 或 组 织 染 构 作 出 重大 
改动 ; 以 及 















































(iv) ”是 否 有 任何 书面 亿 议 或 承诺 ,例如 承诺 不 干预 持 牌 
人 的 业务 策略 。 


























《 茶 3/) 狠 歼 
3.3.4.1 
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在 识 扩 各 志 外 古训 合 人 佬 池 ' 合 | 座 用 说 盏 委 RRITM 缴 疙 六 秆 的 
太吉 原 角 ， 但 命 内 从 私 班 负 其 的 及 以 类 谓 性 入 作 前 坟 /FAH 闻 
他 。 存 三 {去 17 侯 人 ) 有 各 入 3(3) 秘 '， 于 化 人 识 肥 纺 党 尺 局 全 
的 入 各 闻 屋 ， 以 浴 识 此 每 各 经 王 均 外 话 他 及 已 屡 f7VHI 注 血 人 
夷 。 









































附加 指 半 (a) ”篇 确保 持 牌 人 的 奔 理 为 遂 妾 人选 而 设立 的 遂 冰 及 周全 的 
管控 制度 一 般 具 有 以 下 特点 : 



































GD 妥善 及 及 时 地 识 剧 所 有 符合 4 支付 条 例 ? 所 列 载 经 
里 , 的 定义 的 职位 ， 









































Gi) ”个 列 经 理 级 职位 的 职 豆 及 所 需 技能 、 知 识 及 经 验 应 
清楚 界定 ， 六 有 最 新 的 职位 说 明 、 组 织 淋 构图 及 权 
力 级 剧 为 证 ， 































































































GD) 设 有 妥善 的 政策 及 程序 甄选 及 委任 经 理 ， 以 及 令 持 
牌 人 确信 有 天候 选 人 是 担任 或 将 会 担任 该 职位 的 
送 备 人 人选， 


















































(iv)” 设 有 有 效 的 制度 ， 按 照 经 理 的 表现 对 其 作出 评 核 、 
奖励 及 纪律 答 处 ， 普 定 期 评 核 其 是 否 为 通 曾 人 选 ， 




































































(Vv) ” 设 有 政策 及 程序 ， 以 调查 经 理 过 有 反 规 则 及 规 例 的 情 
沉 或 对 径 理 的 投诉 ， 以 及 因应 调查 结果 揉 取 纪 律 行 
动 ， 






















































































CD ”经 理 级 的 空缺 迅速 得 到 填补 ， 以 及 有 清楚 界定 的 安 
排 应 付 草 时 出 现 空 缺 的 情 沉 ; 






























































(vii) 向 经 理 提供 充足 培训 ;以 及 





























(viii) 内 部 害 计 部 门 定期 检讨 有 了 关 委任 经 理 的 管控 制度 。 




















《指引 》 第 3.4 人 条 一 外 判 





{ 阁 317 AIANRIE FE (a) 妆 普 钴 放 IIYZI ' 
370 EN DMR ER ;IN 


鸭 委 项 篇 入 矿 内 态 育 厂 六 JAY 覃 大 局 鸯 (和 色 友 美 涉 受 大 大 j 赂 
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附加 指 半 





户 营 砍 1 成 玖 :或 插入 售 入 支 人 了 工 复 扼 帮 二 % 列 页 : 亿 受 学 稼 
蓄 纱 为 有 天 : 所 后 基 | 报 游 怒 代 吉 准 fT 注 匣 的 当局 短信 ; 众 fJ 访 
凡人 EEEN NE RE ER 
DI EI II A ZN RI 
弄 终 疙 芒 ;以 尺 六 音 凑 交 太 二 壮 fFCDWE ， 人 EGR) ; 
必 及 (o) 若 给 受 毒 各 吏 从 为 有 孙 : 名 贞 淹 从 为 1y 蓝 1F 或 2 搞 链 
放 右 熙 的 定 甚 容量 入 亲 ， 人 以 滩 扣 所 把 找 HI 投 议 入 久 完全 集合 
盛 秆 的 绕 衣 碟 淮 ， 绽 1 所 有 有 鲍 矢 前 已 溉 衣 &IE'; 众 fT 纺 茵 的 
外 勒 风 撕 闻 IH '， 以 腑 打 在 本 健 旦 伴 上 光 议 刚 ` 识 1H 尺 周全 入 
豌 所 有 有 更 儿 风 替 ; 人 以 尺 每 户 一 战 注 闸 好 交 扩 并 外 因 胡 刻 '， 人 以 部 
信 放 十 重 六 | 芒 j 尺 更 入 有 有 鹏 胡 甘 :化 /1/{ 谤 丰 终 茵 书坊 声 措 淮 一 
残 ， 必 有 天 说 因 太 侦 人 类 下 天 多/ 赂 区 。 









































(a) 一 般 而 言 ' 对 服务 提供 者 进行 的 送 竺 坊 职 审查 除 考 虑 成 本 
因素 及 服务 质 素 外 ' 应 考 龟 到 提供 者 的 财政 稳健 情况 、 信 
省 、 管 理 能 力 、 技 术 能 力 、 党 运 能 力 、 应付 持 牌 人 长 期 需 
求 的 操作 能 力 、 对 支付 行业 的 认识 ， 以 及 紧 贴 市 场 创新 的 


全 已 
月 E 8 































































































(b) 一 般 而 言 ' 遂 当 的 外 判 声 议 应 清楚 列 明 (a) 所 提供 的 服务 类 

别 及 水 平 ， 以 及 服务 提供 者 的 相关 执行 标准 ,包括 就 日 常 
对 作 及 系统 问题 的 应 变 安 排 ; (b) 服务 提供 者 的 合约 坑 务 
及 责任 ; (c) 持 牌 人 的 权利 及 医务 ,包括 持 牌 人 应 文 付 的 有 
关 费 用 及 收费 ' 以 及 持 牌 人 在 香港 适时 存 取 、 检 索 及 保存 
准确 及 最 新 的 记录 ， 以 及 如 需要 ， 向 有 关 当 局 (包括 金管 
局) 提供 有 关 记 录 以 供 查 阅 的 权利 ; 以 及 (gd) 处 理 数据 ， 例 
如 储存 、 人 备份 、 保 访 和 保密 、 以 及 合约 终止 或 届满 时 移 除 
数据 的 安排 等 方面 的 管控 措施 。 
































































































































































































































(c) 一 般 而 言 '; 因 外 判 安排 以 臻 业务 受 干 援 的 风险 可 透 过 应 变 

安排 予以 处理。 服务 提供 者 本 身 的 应 变 计划 通常 会 涵盖 有 
吉日 党 运作 及 系统 问题 的 应 变 安 排 。 一 般 而 言 ， 持 牌 人 应 
确保 其 充分 了 解 其 服务 提供 者 的 应 变 计 划 , 站 考虑 一 旦 儿 
判 服务 因 服 务 提供 者 的 系统 故障 而 中 断 对 其 本 身 的 应 变 
计划 的 影响 。 如 切实 可 行 , 持 牌 人 及 其 服务 提供 者 应 定期 






























































































































































”服务 提供 
F3 明 


2022 自 


































































































因 和 无 力 偿 什 或 其 他 原因 而 未 能 继续 提供 服务 及 支援 。 
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测试 该 等 应 变 计划 。 





(d 


— 


就 境外 外 判 而 言 ， 除 上 述 的 考虑 因素 外 ， 外 判 安排 一 般 应 
处 理 以 下 事宜 : 























GD 境外 外 判 对 持 牌 人 的 风险 状况 的 影响 ， 

















GD 境外 主管 当局 (如 警 寨 及 税务 当局 ) 取 用 使 用 者 的 次 
料 的 权利 (如 境外 主管 当局 试图 取 用 其 使 用 者 的 次 
料 ， 持 牌 人 兢 通 知 金管 局 ) ; 

































































Gii) ”通知 客户 ; 

















(iv) ”外 判 后 有 关 香 港 主管 当局 (包括 金管 局 ) 取 用 使 用 者 
资料 以 作 审 查 的 权利 ; 以 及 






































(V) “ 规 管 外 判 协议 的 法 律 。 








{ 阁 317 籽 修 人 座 碎 所 外 为 之 矿 从 合 (个 人 黄 YY( 政 昼 修 多》('{ 形 许 
3.4.4 侯 人 1) ) 尺 个 人 黄 洲 形 诬 可 乱 公 千 ( ' 形 廊 公敌 / ) 下 好 疾 A 的 
仔 条 入 励 息 六 了 用、 阁 7/ 尺 谎 任 多 冯 。 











附加 指 半 (a) 一 般 而 言 ' 要 确保 合 规 ， 持 牌 人 可 透 过 制定 有 效 措施 ， 以 
确保 服务 提供 者 妥 为 遵守 《 私 隐 人 条 例 》 下 的 所 有 送 用 法 定 
及 监管 规定 ， 尤 其 是 按照 《 私 隐 人 条例》 的 规定 向 使 用 者 发 
出 通知 或 微 求 使 用 者 同意 ， 亚 妥善 保存 有 了 关 纪 录 k。 如 有 和 需 
要 ， 持 牌 人 应 寻求 法 律 意 见 。 


{ 阁 313 外 因 不 座 妨 给 有 有 励 主管 营 局 的 种 仿 人 己 尺 籽 圭 人 A 的 WW 部 尼 外 
937 展 梳 册 扣 觅 妥 黄 兴业 化 人 人 座 矿 扣 识 方 局 会 尺 广 到 的 妆 米 ， 信 
[EFIETEEB = TNSS EA IV RD ~ I NRE BY 

信和 己 尺 多 入 局 次 f 已 请 认 尺 大 弘 语 廊 的 声 妃 及 着 声 声 徊 从 。 

















































































































附加 指 半 (a) 一 般 而 言 ,周全 的 安排 包括 在 与 服务 提供 者 订立 的 外 判 赵 

议 订 有 一 项 条款 容许 监管 当局 视察 或 检讨 服务 提供 者 涉 
及 外 判 活动 的 运作 及 管控 措施 (包括 有 关 当 局 (包括 金管 
局 ) 可 不 受 限 制 地 进入 有 关 不 所 及 系统 ， 以 及 取 用 有 关 记 
录 及 文件 ) ， 亚 应 就 有 天安 排 取 得 有 关 地 区 的 主管 当局 (如 
有 ) 的 指明 同意 。 
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4. 一 般 风 险 管理 及 内 部 管控 制度 














I 








局 会 





在 有 

















2022 妇 


3 月 




















谓 要 时 弘 ! 


附加 指 竹 。 
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5， 资 讯 及 会 计 系 统 











I 








| 





ll) 
Sl 





和 有 














2022 妇 


3 月 

















需要 时 发 





附加 指 竹 。 
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6， 储 值 金额 及 工具 按 金 的 管理 


《指引 》 第 6.2 人 条 一 一 般 原则 


f 茶 3/) 
6.2.7 


附加 指 半 


大 人 也 人 说 训 帮 方 区 及 大 馈 19y 秽 度 ， 以 大 障 玉 簿 殉 伪 信 会 轿 及 
也有 长 伟 ， 歼 历 矿 名 下 育 葛 傅 谣 太 秘 1F 褒 风 历 天 : 属 兴 户 扩 
芝 人 1 也 有 危 厄 前 的 营 会 竹 到 雇 属 : 在 在 条 企 次 入 谣 下 受 阴 太 
过 放 卫 复 欧 厅 人 的 丰 做 搬入 人 人 旋 WWy 负 并 散 区 ， 办 丰登 受 丰 
/FRRMINRR ME° 


























(a) ”本 章 接 下 来 的 部 分 就 构成 有 效 及 稳健 系统 的 元 素 提供 指 
引 。 其 中 部 分 期 党 是 与 确保 储 值 金 额 及 工具 按 金 的 法 律 
明确 性 及 运作 安全 有 关 。 一 般 而 言 ， 持 牌 人 应 琵 求 外 聘 
法 律 意 见 ， 以 确保 法 律 确定 性 ， 普 委 旗 外 聘 独 立 人 士 进 
行 审核 ， 以 确保 运作 稳健 。 有 了 关 期 党 包括 持 牌 人 对 保障 
及 管理 储 值 金 额 及 工具 按 金 的 系统 作出 任何 重大 改变 
前 ， 亦 会 天 求 上 述 的 外 聘 法 律 意见 和 委 放 外 聘 独 立 人 士 
进行 审核 。 由 於 风 险 为 本 的 方法 会 被 探 用 ， 若 持 牌 人 能 
提供 充分 理据 ， 其 他 方式 的 独立 核 证 可 能 会 被 考虑 。 


















































































































































































































































(b) 持 牌 人 应 至 少 每 年 一 次 对 储 值 金额 及 工具 按 金 的 保障 和 
管理 制度 进行 独立 检讨 或 审计 ， 以 确保 其 有 效 性 及 稳健 

























































































(0) 持 牌 人 对 保障 及 管理 储 值 金额 及 工具 按 金 的 系统 作出 任 
何 重大 改变 前 ， 应 先 庄 询 金管 局 。 
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业 系 人 座 肥 序 议 的 启 委 到 ， 以 在 皇 扯 人 一 昌 竹 力 仙 慷 好 ， 
诬 伐 语 妥 壹 其 储 让 多 般 尺 工 且 友 全 的 ) 芭 下身 刊 尺 优 先 竹 入 
休克 奉 算 人 入 帮 大 可 从 : 训 葡 1M 族 亡 釜 办 友 或 捧 鸯 大 佛 可 
大竹 清风 或 角 大 用 下 入 用 3/ 旋 乌 计 : 艳 阴 扩 六 /y 了 和 外 万 
埋 光 看 有 秘方 族 户 或 售 厄 大 族 忆 历 小 各 馆 凡 文 /7 了 和 万 历 
音 斤 己 访 杉 力 斤 历 六 他 1 在 殊 蓉 伟 个 斋 记 /大 愉 方 篇 了 入 支 放 
也有 扼 万 再 履 到 jy 诗 扩 人 镀 轿 : 尖 障 受到 万 千克 民 的 名 防 。 
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附加 指导 





在 各 种 有 效 的 信 旗 安排 中 ， 持 牌 人 就 其 存 於 持 牌 银 行 或 
金管 局 承认 的 外 地 银行 的 独立 帐户 属於 储 值 金额 及 工具 
按 金 的 资产 作出 信 放 声明， 是 可 接受 的 做 法 。 





















































(a) 持 订 人 应 妥善 指定 该 等 独立 银行 帐户 作为 持 有 在 其 信 旗 
排 下 的 储 值 金额 及 工具 按 金 之 用 。 例 如 有 关 独 立 银行 
长 户 的 相关 详细 资料 应 载 於 () 有 关 信 放声 明 中 ; (ii) 有 了 关 
信 旗 声明 的 附件 ; 或 ( 间 按 有 关 信 放声 明 所 载 安 排 及 程序 
人 备 存 的 记录 人 山内。 指定 银行 帐户 的 程序 亦 应 由 具备 天 当 
权力 的 单位 (如 董事 局 或 行政 鳃 裁 ) 批 准 ' 普 人 备 有 审计 追溯 





























对 


























-二 
























































































































































(b) 应 支付 予 某 储 值 支付 工具 计划 的 帐户 的 所 有 款项 (如 帐 
己 增 值 ) 或 应 从 某 储 值 支付 工具 计划 的 帐户 收取 的 所 有 
款项 (如 对 商户 的 付款 ) ' 包括 在 途 资 金 ' 都 应 视 作 储 值 金 
额 ， 闻 赋予 同等 程度 的 保障 。 应 文 付 子 商户 的 文 付 工具 
帐户 的 款项 ， 不 论 是 否 源 自 另 一 个 文 付 工具 使 用 者 帐 己 
或 目 其 银行 帐户 或 其 他 卡 帐 户 直接 扣 帐 ， 亦 应 被 视 作 储 
值 金 额 ， 站 有 赋 子 同等 程度 的 保障 。 


































































































































































































{ 茶 3// 大 和 供 次 历 逢 : 要 厅 负 万 二 泊 相 也 太 会 轿 玫 了 和 友信 : 语 率 安 
0 更 说 名 合 受 管 的 放 全 甸 必用 巷 歼 以太 优 锥 测 疙 户 渴 作用 夭 








附加 指导 在 信 放 安排 下 ， 持 牌 人 应 设 有 退出 计划 ， 而 有 随 计 划一 
般 应 得 到 董事 局 屋面 的 认可 ， 兹 应 包括 : 







































































(a) ”会 启动 向 使 用 者 退回 储 值 金额 及 工具 按 金 的 机 制 
的 特定 情况 清单 (例如 决定 退出 储 值 文 付 工 具 业 
务 、 清 发 )。 如 壮 用 ， 应 制定 监察 指标 以 确保 在 指 
明 情 沉 发 生 时 能 及 时 启动 退出 计划 。 





































































































(b) ”确保 退 款 程序 赐 顺 及 具 效 率 的 详细 步 及 。 金管 局 
在 羡 核 退 款 程序 是 售 具 效率 时 会 考虑 的 因素 包括 
但 不 限 於 : 向 有 关 使 用 者 发 出 通知 ` 使 用 者 预计 可 
收 到 退 款 的 时 间 、 使 用 者 为 获得 退 款 而 需要 办 理 
的 手续 、 以 及 出 现 和 无 法 退 款 情 沉 的 可 能 性 (例如 未 
能 联络 使 用 者 ) 。 
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(c) ”对 有 关 程 序 的 法 律 确定 性 及 运作 可 行 性 的 评 核 。 
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附加 指 半 





大 人 也 人 说 阵 猴 正在 打 巾 镶 责 育 丰 丰 葛 例 友 历 育 储 扩 支 /7 了 得 
黎 历 青 混 5 舍 入 会 簿 及 了 工 和 帮会 ， 以 及 有 让 丰 所 欠 得 会 支 作 
在 方 记 要 好/J 扩 有 [二 用 阁 分 EK 太 记 多 般 尺 工具 扩 会 的 V 种 站 
入 









































(a) 持 牌 人 应 定期 审慎 估算 有 效 堆 行 其 退出 计划 中 的 退 款 程 

序 ( 网 6.3.2) 所 需 的 成 本 及 工具 按 金 包括 一 旦 退出 储 值 文 

付 工 具 业 务 时 应 退 四 予 使 用 者 的 任何 在 途 赣 金 )， 而 成 本 
估算 应 考虑 该 计划 所 列 出 的 相关 因素 (包括 使 用 者 数目 和 
储 值 金额 等 )。 持 牌 人 应 根据 该 估计 成 本 设立 有 效 程序 ， 
以 确保 在 任何 时 间 都 预 留 充足 的 拒 外 资金 处理 退 款 。 例 如 
在 储 值 金额 及 工具 按 金 之 上 维持 一 笔 额 外 / 缓 种 资金 。 持 
牌 人 应 就 如 何 曹 定 额外 /组 种 竟 金 制定 周全 的 政策 及 程 
序 ， 例 如 相关 因素 及 公式 (如 天 用 )。 此 外 ， 持 自信 亦 应 制 
定 周全 的 管控 措施 ， 以 记 他 该 等 额外 /组 种 资金 的 一 定 及 
维持 ， 以 及 监察 有 了 关 安 排 的 成 效 与 称 健 程度 。 























































































































































































































































































































(b) 知 持 有 储 值 金 额 及 工具 按 金 的 帐户 所 持 有 资产 的 款额 低 

於 分 类 帐 系统 所 记录 的 储 值 金额 及 工具 按 金 的 款额 ; 即 出 
现 短 灾 情况 ， 持 牌 人 应 迅速 问 其 高 级 管理 层 及 金管 局 上 
报 ,不 应 延误 。 一 般 而 言 ' 向 金管 局 呈 交 的 报告 应 涵盖 有 
需 个 案 的 成 因 及 相关 详情 、 为 纠正 短 灰 情况 所 揉 取 的 行动 







































































































































































f 茶 3/) 
6.3.5 


附加 指 半 


方 励 硼 让 区 人 工兵 订 前 的 授 和 他 会 般 尺 工兵 术 侈 的 疯 庆 ( 包 衣 
允 鲍 用 艇 广 严 邵 ) 习 黎 攻 人 也 人 未 和 /M 莫 伟 玫 死 丰 砂 美 殉 洛 动 
必 到 [9y 营 伟 分 让 竹 太太 殉 。 


























(a) 若 持 牌 人 运作 超过 一 项 储 值 支 付 工 具 计划 ， 一般 预期 每 
项 储 值 支付 工具 计划 的 储 值 金额 及 工具 按 金 会 以 分 隔 方 
式 持 有 。 
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大 侦 人 悦 育 育 鸡 风衣 管 从 耻 旋 及 府 户 :以 大 障 储 大 会 轿 及 
NN 区 六 用 硕大 
夺 : 历 以 等 个 旋 用 可 谊 说 防 成 虑 算 人 My 避 锅 于 扔 克 责 各 从 丢 
属 jy 理 要 疝 分 。 
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附加 指 半 (a) ” 岛 确 保 保 障 储 值 金额 及 工具 按 金 的 管控 制度 的 成 效 ， 持 
有 牌 人 通常 须 设 有 因应 其 经 营 模 式 、 人 运作 程序 及 系统 设 刘 
的 风险 特性 而 特别 制定 的 管控 制度 ， 有 了 关 制 度 一 般 应 得 
到 董事 局 屋面 的 座 可 。 以 下 列 载 的 是 一 些 通常 合 设 立 的 
内 部 管控 措施 : 





























































































































G) ”职责 划分 : 前线 业 务 部 门 、 俊 勤 运 作 部 门 及 管控 前 
站 应 保持 独立 ， 闻 遂 妾 分隔， 以 确保 有 充足 的 制 
衡 * 同时 上 述 每 个 部 门 都 应 设 有 清晰 的 从 属 关 像 ， 
ne 知 的 高 级 管理 人 员 担 任 主管 ， 
以 确保 独立 性 



















































































ll 















































GD。 管控 政策 及 程序 :管控 政策 及 程序 应 清晰 ,可 以 执 
行 ， 世 有 明确 的 准则 、 角 发 因素 及 /或 指标 。 持 牌 
人 应 定期 检讨 其 管控 政策 及 程序 ， 而 检讨 应 考 鹿 
到 经 营 模式 ` 业 务 运 作 规模 ` 运 作 程 序 ` 技 术 应 用 、 
有 了 关 各 方 的 意见 ， 以 及 规则 与 规 例 的 任何 改变 。 



































































































































Gii 识别 及 组 减 风险 : 持 牌 人 应 进行 岂 尊 的 程序 ' 以 识 
别 所 有 可 能 会 引致 盗 箱 ` 欺 诈 ` 挪 用 或 任何 其 他 形 
式 的 运作 损失 的 风险 及 漏洞 。 持 牌 人 应 在 其 管控 
政策 及 程序 中 加 入 可 有 效应 对 所 识别 的 风险 及 漏 
洞 的 具体 管控 措施 。 








































































































(iv) 授权 管控 : 一 般 预 期 有 效 的 管控 制度 设 有 : (a@) 谨 
说 的 授权 程序 ， 以 确保 所 有 主要 运作 都 经 通 当 授 
权 ， 例 如 银行 帐户 的 运作 、 证 可 商户 名 单 的 更 改 
等 ; (b) 及 时 价 测 及 防范 未 经 授权 的 活动 ; (0) 认 真 
跟 进 或 调查 显示 试图 进行 未 经 授权 活动 的 情况 的 


E 件 。 

































































































































































(v) ”内 部 管控 程序 : 趴 然 个 别 挂牌 人 的 详细 内 部 管控 
程序 或 有 很 大 分 别 , 但 应 就 所 有 主要 业务 、 运 作 程 
序 及 重要 的 系统 输入 或 更 新 步 圣 设 有 上 典型 的 内 部 
管控 方法 ， 包 括 输 入 及 核对 安排 及 帐 卓 的 定期 对 
帐 。 持 牌 人 应 确保 负责 监察 触 纱 事件 的 人 员 熟 识 
相关 业务 操作 。 持 牌 人 亦 应 制定 周全 的 管控 制度 ， 
确保 负责 若干 职能 (如 苞 报 职能 ) 的 外 部 各 方 (如 旗 
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管 人 ) 全 面 了 解 其 责任 。 














(b) 在 不 限制 持 牌 人 到 用 更 先进 及 有 有效 的 管控 措施 的 情况 
下 ， 下 文 列 出 典型 的 运作 模式 应 具备 的 主要 管控 元 素 : 



























































() ”有 和 经 过 受 善 测试 及 诺 说 实施 的 程序 ， 以 确保 持 牌 
人 的 储 值 金额 及 工具 按 金 有 及 时 策 淮 确 的 资金 进 
出 纪 钞 ， 而 就 系统 纪录 熏 实 降 的 储 值 金额 及 工具 
按 金 (例如 持 有 储 值 金额 及 工具 按 金 的 专用 银行 
帐户 结余 ) 作 定期 对 帐 。 同 时， 每 日 应 定时 提供 定 
期 管理 资讯 系统 的 报告 。 持 牌 人 应 有 安排 让 金管 
局 可 有 效 地 查阅 管理 资讯 系统 的 报告 ， 以 进行 隋 
机 非 更 场 监 管 查 核 。 对 帐 过 程 中 发 更 的 特殊 情况 
座 及 时 在 内 部 上 报 及 调查 。 如 属 重 大 特殊 情 沉 (将 
由 金管 局 与 持 竹 人 议定 )， 应 坊 快 通知 金管 局 。 































































































































































































































































































GD 有 经 过 妥善 测试 及 岂 训 实 施 的 程序 以 有 效 节 查 文 
付 指示 ， 确保 只 回 儿 授 权 的 收获 人 付款 "预期 持 牌 
人 的 系统 设计 能 及 早 侦 测 到 对 未 径 授 权 的 收获 人 
的 支付 指示 ,从 而 能 芹 停 执行 有 关 指 示 ; 以 待 额外 
覆 核 。 




























































































(ii) 为 储 值 金额 及 工具 按 金 的 安全 及 充足 程度 提供 进 一 
步 保障 的 额外 措施 。 可 能 的 额外 保障 形式 包括 由 独 
立 第 三 方 (例如 持 牌 银行 或 金管 局 承 座 的 外 地 多 0 
的 有 效 支 付 管控 、 保 险 保 障 或 由 银行 或 其 他 信和 光良 
好 的 人 十 (例如 财政 健全 的 集团 公司 ) 提 供 的 担保 * 为 

免 引 起 疑 间 ， 以 上 所 列 仅 属 可 供 选 择 的 方案 ， 持 牌 

人 可 提出 其 他 可 提供 进一步 保障 的 有 效 方法 予 金 管 

局 考虑 。 需 要 额外 保障 的 程度 视 乎 多 项 因素 而 定 ， 

包括 金管 局 对 持 牌 人 有 关 储 值 金额 保障 的 内 部 管控 

措施 的 成 效 及 稳健 程度 的 评估 、 储 值 金额 及 工具 按 

金 的 规模 及 爸 动情 况 ， 以 及 持 牌 人 的 财力 等 。 持 牌 

人 应 人 局 的 持续 监管 过 程 中 盆 金 管 局 讨论 及 访 
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{ 阁 313 NEESIE BRE DY 
6.4.1 豆 净 广 要 月 有 的， 以 及 代 笃 浓 有 有 元 全 黄金 俯 /J 护 9°。 挝 特 人 座 硫 








不 籽 方 的 垦 店 爹 偶 尺 工 兵权 会 1 入 前 芒 详 ， 识 及 就 尺 绩 兵 入 
候 艾 /17 工 有 生计 动 HI/ 于 FF 措 式 衣 信 罗 法 凡 作 和 再 及 穴 、 阁 9/ 尺 篇 
六 


























附加 指 半 (a) 就 可 能 出 现 的 不 同情 沉 ' 例 如 使 用 者 能 在 帐户 增值 后 立即 和 运 
用 或 提取 其 储 值 文 付 工具 帐户 的 惕 金 ' 即 使 与 帐户 增值 相关 
的 有 关 资 金 要 待 一 段 时 间 ( 可 能 冯 个 工作 天 ) 和 后 才 会 在 人 持 
有 储 值 金额 的 持 牌 人 指定 帐户 , 持 牌 人 将 须 承 受 更 高 的 流动 
性 要 求 。 该 等 流动 性 要 求 可 能 会 因为 不 同 的 外 部 环境 ,例如 
有 一 些 可 能 推动 使 用 者 运用 特定 增值 渠道 及 /或 特定 储 值 支 
付 工 具 服 务 / 功 能 的 活动 ， 而 出 现 迅速 和 动 三 的 变化 。 持 牌 
人 应 制定 有 效 机 制 ， 以 鉴 察 及 评估 其 流动 性 要 求 ， 亚 及 时 探 
取 稳 健 措 施 ， 以 管理 及 应 对 其 流动 性 要 求 。 








































































































































































































































































































(b) 在 评估 管控 措施 的 成 效 时 金管 局 计 及 持 夯 人 在 管理 其 流动 
性 要 求 方面 的 专 站 知识 及 往 赎 。 























{ 阁 317 大 个 人 不 展 厌 级 太 和 莹 殉 镶 扩 人 和 据 让 到 jy 矶 殴 加 戎 篆 要 要 做 人 和 葡 
6.4.2 交 1%y 径 党 寿 式 。 克 奉 侦 人 太 苦 以 殖 会 葡 花 广 帮 巩 以 人 AVI 克 属 陵 
会 磺 商 座 的 形式 籽 肥 隶 LL 人 HI 角 记 会 钥 尺 工 生 扩 会 ， 短 稻谷/ 厅 
金谷 局 站 为 育 般 MM 馆 依仗 笑 及 了 和 大 会 例 丰 到 契 分 希 阳 ， 区 受 
记 广 信 励 周 挨 ( 包 主 扩 苞 风 脸 、 方 声 风 愉 、 集 让 风 恰 尺 沉 及 作 克 
眉 葬 彤 他 ,以 挫 逢 舍 千 局 My 焉 历 怕 变 。 录 天 会 管 局 下 族 各 天 厅 
昔 多 邦人 己 人 以 至少 序 忆 会 My 丰 莹 成 身 用 租 / 及 育 或 的 管 休 伴 
矿 :以 扶 障 阴 太 径 舌 有 了 和 友 伟 下 受 方 鸭 防 属 怖 区 欧 。 
























































附加 指 半 (a) 金管 局 在 评 核 管控 措施 的 成 效 时 ， 会 考 看 的 因素 包括 持 牌 
人 管理 投资 项 目的 专门 知识 及 往 绩 。 



























































{ 阁 317 扬 阳 广 方 弦 的 黄 肖 风 恰 芒 理 必 策 、 许 3/ 尺 管 J 从 将 族 ， 否 和 所 洪 
6.4.3 元 终 关 元 邮 让 的 贸 届 小 ， 一 雍和 不 合 耸 六 储 太 会 锋 或 了 和 灰 人 1 
闻 户 外 沛 的 四 李 及 的 及 砚 巩 大黄 信之 NI。 
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附加 指导 (a) 若 有 正当 理由 令 持 牌 人 乱 法 避免 储 值 金额 及 工具 按 金 与 所 
持 的 相关 资产 之 问 存在 货 澡 错 配 ， 持 牌 人 可 联络 金管 局 解 
释 有 关 情 况 。 若 金管 局 接纳 有 需要 让 有 了 关 货 况 错 配 的 情况 
存在 ， 金 管 局 预期 持 牌 人 会 设立 适当 政策 及 程序 ， 以 监察 
或 管理 由 此 引起 的 外 攻 风 除 ， 以 及 确保 有 充足 的 储 值 金额 
及 工具 按 金 。 
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7， 特定 风 险 管 理 


《指引 》 第 7.2 人 条 一 科技 风险 管理 











人 阁 312 业 旬 人 碎 议 六 2 和 反 网 据 售 2 丙 妊 秩 ， 矿 扣 0) 疯 并 扩 
27207 答 雁 个 访 户 会 (ii) 特 恼 系统 的 算 莱 尺 你 安 ' 包 凡 可 莱 丛 、 态 伴 





人 se 可 万 底 ， 以及 ( 冯 久 太 过 jy 也 和 蔓 /FY 有 公用 丈 
- " 总 放 笑 褒 ' 广 切 肥 盛 昌 的 )， 印 绩 村 堵 人 的 美洲 尺 住 fF/ 
算 ` 般 大 、 i 形 疹 展 用 类 到 历 涉 用 MM 属 隐 ` 磊 1 有 友 用 周 移 
屈 讼 入 喜 币 度 轨 从 "二 化 人 讼 在 沫 洲 妆 任 尺 网 迭 入 五 之 关注 泌 
分 厌 丰 邓 友 葛 泡 ， 以 议 侨 育 硬 从 帝 潢 以/ 医者 态 往 。 












































附加 指导 在 评 核 持 牌 人 的 科技 风险 管理 架构 的 成 效 时 ,金管 局 会 考虑 以 
下 的 一 般 要 求 : 



































(a) 有效 的 科技 风险 管理 染 构 通常 包含 妥善 的 资讯 科技 管 治 、 

持 镇 的 科技 风险 管理 程序 及 实施 稳健 的 资讯 科技 管控 方 
法 : 

资讯 科技 管 治 


(b) 一 般 而 言 ， 资讯 科技 管 治 涵盖 不 同 范 暑 ， 包括 设立 架构 清 
晰 的 资讯 科技 部 门 及 制定 资讯 科技 管控 政策 。 
























































































































































(c) 储 管 建构 可 能 有 所 不 同 ;但 典型 的 科技 风险 管理 架构 至 少 
包括 三 个 主要 部 门 : 

G) ”资讯 科技 部 门 ， 负责 向 业务 单位 提供 日 常 的 资讯 科 
技 服 务 及 支援 。 











































































































(Gi) ”科技 风险 管理 部 门 ， 负责 确保 持 牌 人 遵从 稳健 的 科 
技 风险 管理 程序 (进一步 详情 见 下 文 第 (9 及 ( 段 ) ， 
以 及 运用 科技 有 效 地 管理 其 他 风险 ， 尤 其 是 到 作风 
险 。 

Gii) 资讯 科技 审计 部 门 ， 负责 确保 对 持 牌 人 的 资讯 科技 


管控 措施 及 科技 风险 管理 程序 难 行 充足 的 审计 ， 
而 且 所 有 缺失 都 予 迅速 上 报 、 跟 进 及 纠正 。 













































































































































































(d) 持 牌 人 应 建立 一 套 切合 其 业务 模式 及 科技 放 用 的 资讯 科 
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技 管控 政策 。 下 文 列 载 该 套 政策 应 具备 的 一 些 特点 : 























G) 制定 一 套 确 立 资讯 科技 管控 基本 原则 的 资讯 科技 
管控 政策 。 该 等 政策 经 正式 批准 ' 站 由 各 资讯 科技 
部 门 及 业务 单位 妥善 实施 。 












































Gi)” 设 有 清晰 的 程序 以 核实 遵从 资讯 科技 管控 政策 的 
情况 ， 及 琶 求 批准 窖 锡 遵守 资讯 科技 管控 政策 普 
订 明 未 能 遵守 有 关 程 序 的 和 后果。 





















































Giib 清楚 广 明 资讯 科技 部 门 、 科 技 风 险 管 理 部 门 及 资讯 
科技 审计 部 门 的 角色 及 责任 ， 以 及 高 级 管理 层 监 察 
各 资讯 科技 部 门 的 表现 的 责任 。 







































































(iv) 设 有 清晰 的 程序 定期 检讨 局 负 上 文 第 (分 段 所 述 
的 职 页 的 员工 是 否 足 络 及 腾 任 (从 专业 知识 ` 相 关 径 
验 及 对 持 让 人 运作 的 熟识 程度 而 论 )。 


科技 风险 管理 程序 


Ge) 持 牌 人 应 有 六 合 其 经 营 模式 与 风险 状况 的 有 效 的 风险 管 
里 制度 。 其 风险 管理 制度 的 精密 程度 应 与 持 牌 人 业务 的 规 
模 及 复杂 程度 相符 。 













































































































































































() ”风险 管理 制度 中 应 有 稳健 的 程序 ,管理 所 有 可 能 令 持 牌 人 

的 科技 风险 出 现 释 化 的 改变 (例如 因 新 产品 服务、 程序、 
合约 条 款 引 起 的 改变 ,或 法 律 及 规 例 等 外 部 因素 引起 的 改 
变 )* 有 关 程 序 应 能 记录 所 有 建议 的 改变 ' 普 就 该 等 改变 进 
行 厂 格 的 风险 识 全 程序。 持 牌 人 应 持续 厂 说 地 评估 、 监 察 
及 管控 识 列 到 的 所 有 风险 。 


实施 稳健 的 资讯 科技 管控 措施 
(g) 持 牌 人 应 因应 其 经 和 营 模 式 与 风险 状 沉 实施 周全 稳健 的 次 


讯 科技 管控 措施 。 金 管 局 在 评 核 其 资讯 科技 管控 措施 是 个 
周全 时 ， 会 考 上 附件 所 列 有 了 关 不 同 范 暑 的 良好 做 法 。 




































































































































































{272 散 内 全 注 完全 六 失 受 生 疙 轴 和 有 并 人 家 [(BYY 有 六 下 蕊 ) 的 
7 局 网 ， 籽 f 化 人 座 杆 VV 一 个 肥厚 丰 的 入 更 居 散 稀 的 稻 作 管事 许 
问 ' 以 矿泉 有 2 到 的 站 ff 是 座 及 管 豆 能 力 ' 访 当 贮 /从 基 甬 大 稻 作 。 
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广 馏 许 笑 包 李 :() 尺 好 /多久 局 虹 闭 (1 已 BI 攻 AR 
信 忆 H) 捧 BF 央 条 与 甬 帮 伯 信 渤 攀 艇 磺 '， 所 反 钢 络 必 区 让 玉 上 
周记 久 :以 及 系统 隐 查访 今 拓 万 青 守 受 会 吾 论 和 拓 葡 历 因 下 从 
MAY DIMEIII NY » MRO NR LE BI TINE 
在 向 鸡 奋 篇 也 7TNy 钥 尖 用 诬 舌 要 访 必 区 图 请 称 多 成 次 告 。 







































































附加 指导 (a) ”为 确保 事件 管理 染 权 得 到 充足 的 管理 a 人 充足 

的 能 力 ， 持 有 牧人 应 向 负责 契 理 任何 重大 事件 可 能 引 | 起 的 不 

同 风险 (例如 资讯 科技 风险 、 运 作风 险 、 we 

信 餐 风险 ) 的 管理 属 人 员 指 派 清晰 的 职责 及 赋予 通 当 权 
限 。 该 等 人 员 应 具 人 备 足 多 级 嘎 。 持 有 牌 人 应 考虑 到 其 业务 规 
模 及 复杂 程度 ( 见 ,下 文 第 (c) 段 )， 以 书面 方式 清楚 界定 会 被 
视 和 为 重大 事件 的 各 类 型 事件 。 持 牌 人 应 有 稳健 的 安排 ， 确 
保 就 任何 重大 事件 及 时 通知 所 有 和 负责 的 管理 届 人 员 。 有 了 关 
管理 层 人 员 应 主动 互相 联络 ;评估 状况 及 定 出 最 恰当 的 行 
动 以 有 效 管理 所 有 相关 风险 。 





































































































































































































































































































































































































(b) 持 牌 人 应 致力 在 对 其 业务 从 成 最 轻微 影响 的 情况 下 ' 尽快 
恢复 正常 的 资讯 科技 服务 。 为 此 ' 持 牌 人 应 有 有 效 的 事件 
回应 及 管理 程序 ， 有 关 程 序 应 至 少 让 持 牌 人 能 











































































































GD 迅速 找到 事件 的 可 能 成 因 ( 例 如 因 持 牌 人 的 保安 措 
施 或 运作 环境 存在 弱点 )' 以 及 评估 事件 的 洪 在 规模 
及 影响 (例如 事件 会 否 影响 其 他 使 用 者 或 甚至 其 他 
外 部 各 方 ) ; 










































































(i) 在 切实 可 行 的 情况 下 雯 快 控制 对 持 牌 人 的 使 用 者 
资产 、 资 料及 信 澳 造成 的 损害 ， 站 解决 有 了 关 事 件 ， 
而 解决 的 时 限 应 与 事件 的 岂 重 程度 相符 。 持 牌 人 应 
以 保障 已 受 或 可 能 受 事件 影响 的 使 用 痢 的 权益 为 

































































































































































优先 ; 
Gii) ”迅速 向 高 级 管理 属 上 驾 事件 ， 尤其 党 事件 可 能 会 引 
致 信和 收受 损 或 重大 财政 损失 ; 














(iv) 迅速 通知 受 影响 使 用 者 及 (如 送 用 ) 其 他 受 影响 外 方 
(让 它 们 能 通知 其 受 影 响 的 使 用 者 ) ， 


























C) “ 按 需 要 收集 及 保存 铀 识 证 据 ， 以 便利 其 合 进 行 的 调 
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查 及 检控 罪犯 (如 有 需要 ) ; 











(vi) ”定期 汇 服 解决 事件 的 进度 ; 以 及 























Ci 对 事件 进行 事后 检讨 ， 包 括 识别 事件 成 因 及 制定 行 
动 计划 以 作出 所 需 纪 正 ( 例 如 防范 及 债 测 管控 \ 缓 沽 
管控 等 ) 。 






























































型 的 事件 管理 架构 下 ' 需要 针 所 识别 的 每 宗 事 件 分 配 
的 岂 重 程度 ， 以 能 就 重大 事件 及 时 作出 回应 。 除 其 他 
| 
| 











(c) 






























































在 典 
送 竺 
大 























须 确立 及 记录 用 作 评 估 事 件 髓 重 程度 的 准则 。 有 
亦 须 接受 充足 培训 使 其 能 有 效 分 辨 高 几 重 程度 的 






























































并 职 


人 处 o 





















































(d) 在 典型 的 事件 管理 架构 下 ， 会 成 立 事件 回应 小 组 (成 员 来 

自 相 关 部 门 ) 文 援 高 级 管理 层 人 员 按 照 既 定 程 序 管理 事件 
亚 作 出 回应。 小 组 的 角色 而 责任 ， 包 括 记录 、 分 析 、 袜 救 
及 蜂 察 事件 ， 有 清晰 界定 及 记录 。 








































































































































































































(7 各 5312 业 | 昌 人 座 广 局 全 嵌入 ' 碎 训 净 不 同日 的 1 就 VV 的 戏 据 唐 欠 村 镶 

2 党 分 入 : 必 [ 项 天 径 丰 仙 或 该 儿 NMY 严 抱 式 舌 毅 :以 用 稼 矿 太 多 
的 帮 抱 簿 人 素 ， 以 议 傣 数 从 广 jy 大 下 大 及 完 豆 大 。 凡 外 万 蛋 名 
背 艳 同 的 在 杀 入 人 次 疹 历 言 :大 华人 在 让 打 彤 态 说 天 村 ( 双 
谋 族 人 fH) 及 参 属 公 殉 丰 育 营 01HYITJJ 和 篇 但 殉 了 负 ` 共 3/ 残 居 
E38 pi 






































附加 指导 (a) 持 和 兽人 应 遵循 私 隐 公 署 发 出 的 相关 最 佳 行事 方式 例子 包 
括 私 隐 公署 就 互联 网 网 站 及 流动 应 用 程式 的 网 上 奶 跤 功 
能 及 使 用 提出 的 建议 。 


















































(b) 一般 而 言 ， 为 保障 数据 库 的 保密 性 及 完整 性 ， 除 其 他 措施 
外 ， 持 牌 人 应 实施 以 下 管控 措施 : 
































GD ”由 一 套 设 有 存 取 管控 规则 的 周全 认证 机 制 ， 限制 对 
次 料及 应 用 系统 的 存 取 。 揉 用 以 职责 为 本 的 管控 霖 
构 ， 只 按 需 要 授予 存 取 权 。 
















































































G 成立 保安 管理 部 门 及 制定 正式 程序 ， 以 管理 系统 资 
源 及 应 用 系统 的 存 取 权 分 配 ， 六 监察 系统 资源 的 运 
























































2022 年 第 23 页 


ID] 








储 值 支付 工具 持 牌 人 监管 的 应 用 膏 明 


(c) 


(111) 


MANS 








用 ， 以 侦 测 
对 保安 管 


























任何 办 常 或 未 经 授权 活动 。 





蛙 部 门 或 其 他 辅助 管控 措施 (如 同 级 评审 ) 











的 职责 实施 注 当 划分 ， 以 减低 保安 管 








经 授权 活动 的 风险 。 











曹 慎 地 管控 特许 及 
































(1 
(11) 
(ii 


(iv) 


(Vv) 


(VD 


(vii) 


(viii) 


(1x) 





EE 





MI 
号 


























改 预 设 密码 ， 























限制 特许 使 用 者 的 数目 ， 

















里 部 门 进行 未 

















察 急 识 剧 码 的 运用 及 存 取 "在 一 个 
典型 的 情况 下， 必要 的 管控 程序 包括 : 














寺 许 使 用 者 进行 焉 端 存 取 实 施 胡 格 管控 ; 











FP 


要 





问 具 
的 权限 ， 















































记录 、 保 存 及 维持 具 


由 遂 备 的 高 级 人 员 给 予 














特许 及 紧急 识别 码 的 人 十 授予 属 绝对 必 


F 式 批准 后 才 可 运用 ， 












































特许 及 紧急 识别 码 的 人 士 所 





进行 的 活动 (例如 对 活动 记录 进行 同 级 核 害 ) ; 





-一 





荣 止 分 吾 特 许 帐 
受 





户 ; 
































善 保管 特许 及 坚 急 识别 码 及 密码 (例如 保存 於 密 

















在 
合 


封 信封 ， 放 在 数据 中 心 ，】 














锁 好 ) ;以 及 












































使 用 特许 及 紧急 识别 码 的 密码 的 人 十 交还 密 码 
































即时 更 改 密 磺 








可 [e] 





《指引 》 第 7.3 人 条 一 支付 保安 管理 
































































































































{ 阁 317 压 系 人 座 玉 将 ?V1 有人、 分 闭 、 僻 ` 像 这 `、 兢 吏 尺 你 脚 有 局 
202 会 的 政策 尺 竹 序 ' 俯 及 泉 渤 诲 党 总 他 妥 角 蔬 区 /J 工 所 详 莲 及 沼 
订 芝 1 奖 舅 历 秦 乱 私 毒 收集 所 不 钓 葛 说 的 作客 成 及 完 约 所 。 
附加 指 半 金管 局 在 评 核 支付 保安 管理 政策 及 程序 是 否 周 全 时 ， 会 从 次 六 
科技 及 非 次 讯 科 技 角度 考虑 以 下 各 项 
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(a) 资料 所 有 机 




















就 持 牌 人 所 收集 ` 处理、 创设 及 维持 的 次 料 而 言 ， 持 牌 人 
应 指派 专 页 人 士 作 为 资料 所 有 人 。 一 般 而 言 ,该 资料 所 有 
人 负责 系统 所 不 理 及 储存 的 资料 的 分 类 、 使 用 授权 及 保 
障 。 

































































(b) 资料 分 类 














但 料 应 按照 敏感 程度 分 类 ' 以 反映 所 需 的 保障 程度 。 为 霓 
助 分 类 交 程 持 牌 人 应 就 每 种 类 别 制定 指引 | 及 定义 ' 普 按 
照 分 类 计划 定 出 通 当 的 保障 贪 料 程序 。 







































































(0) 已 储存 的 资料 














庄 人 存 於 终端 用 户 妆 置 及 储 值 支付 工具 持 牌 人 和 后 端 系统 中 
的 敏感 资料 (如 文 付 数据 、 个 人 身分 识 剧 效 料 及 识 证 资料 ) 
准予 以 送 竺 保障 以 防范 盗 害 及 未 经 授权 存 取 或 修订 。 有 
关 资 料 应 以 有 力 及 效 广 泛 认可 的 加 密 技术 予以 加 密 ，3 
渚 存 於 安全 的 储存 环境 内 。 此 外 ， 正式 接纳 程序 应 包括 妥 
善 的 测试 个 案 ， 以 确保 涵 著 所 有 有 关 保 障 该 等 资料 的 管 
控 措 施 (例如 防范 电子 扒手 的 管控 措施 ) 。 



























































所 

























































































(d) 传送 中 的 资料 























持 牌 人 应 克 保 在 传送 敏感 资料 (例如 由 使 用 者 的 守 置 至 持 

牌 人 的 伺服 器 ) 时 ， 以 有 力 及 钨 广泛 认可 的 加 密 技术 ， 3 

a 4 的 端 对 端 加 密 ， 以 保障 资料 的 保 
密 性 及 完整 性 


























二 





















































如 送 用 ,交换 资料 的 通讯 渠道 只 应 按 需 要 开放 。 例 如 若 切 
实 可 行 ， 透 过 非 接触 式 渠 道 进 行 的 通讯 只 可 在 使 用 者 启 
动人 后 及 在 限定 的 时 限 内 作出 。 










































































(e) 处 理 中 的 资料 


























藻 持 牌 人 提供 收音 服务 ， 应 要 求 其 商户 设 有 必要 措施 以 
保障 与 支付 相关 的 敏感 资料 ， 以 及 避免 向 未 能 确保 有 了 关 
保障 的 商户 提供 服务 。 持 牌 人 亦 应 实施 芭 足 措施 ,以 维持 
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及 核实 其 系统 所 处 理 的 资料 的 完整 性 。 








G ”资料 的 保留 及 处 置 

















持 牌 人 应 根据 送 用 法 例 、 监 管 规定 及 业务 要 求 ,实施 资料 
保留 及 处 置 政策 ,限制 资料 存量 及 保留 时 间 持 牌 人 应 有 
程序 安全 地 删除 不 再 需要 的 资料 。 



























































(g) 资料 最 少 化 





持 牌 人 在 设计 、 发 展 及 维持 支付 服务 时 ， 应 确保 赣 料 最 少 
化 是 核心 功能 的 重要 原则 之 一 : 敏感 资料 的 收集 、 传 这、 
处 理 、 储 存 及 /或 存档 及 视觉 化 应 维持 在 最 低 水 平 。 不 必 
要 的 资料 不 应 在 不 需要 有 关 资 料 的 系统 及 处 理 程序 中 时 
列 。 例 如 持 牌 人 可 能 在 其 后 端 系统 中 持 有 的 使 用 者 帐户 
资料 (例如 持 卡 人 姓名 ) 不 应 储存 於 乱 需 该 等 资料 以 完成 
交易 的 使 用 者 所 控制 的 前 哨 守重 或 应 用 程式 内 ， 亦 不 可 
经 由 该 等 颇 置 或 应 用 程式 存 取 。 此 人 外， 储存 於 使 用 者 装置 
的 其 他 应 用 程式 应 不 能 存 取 持 牌 人 的 支付 应 用 程式 所 使 
用 的 资料 ( 即 「 应 用 程式 沙 盒 | 或 “应 用 程式 容器 , ) 。 


















































































































































































































































{ 阁 317 业 | 昌 人 座 伍 访 局 全 的 所 安庆 廊 ' 以 所 漠 雄 拱 也 语 用 过 矿 失真 迄 
L339 借 艾 八 工 折 的 每 个 区 1 类 泣 ( 包 裔 大 及 全 用 考 闪 加， 这 之 1 所 和 有 
硬 人 和 R 人 KES 






































附加 指 半 金管 局 在 评 核 文 付 渠道 的 保安 措施 是 否 周全 时 ' 会 考虑 以 下 各 

















(a) 文 付 卡 











提供 文 付 卡 服务 的 持 牌 人 应 实施 周全 的 保障 措施 ， 以 保 
障 敏感 的 支付 卡 资料 例如 利用 晶 月 卡 储存 该 等 资料 ' 站 
就 销售 点 及 日 动 权 员 机 的 卡 交 易 实 施 强 力 的 认证 方法 。 
根据 风险 为 本 方法 ， 就 限额 较 高 及 功能 较 多 的 卡 (如 客户 
身分 已 经 核实 的 卡 ) 而 言 : 



















































































() ”实体 卡 应 内 置 唱 月 ， 除 非 该 卡 附 有 和 与 未 经 核实 的 卡 
(或 偿 品 卡 ) 相 同 的 特点 ， 
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(b) 


(c) 


(d 


— 












































(i ”如 实 租 卡 可 用 作 进 行 本 地 目 动 模 员 机 交易 ， 确 





施 唱 月 证 证 ; 以 及 





























(ii) ”车 实体 卡 可 用 於 在 境外 自动 懂 员 机 提取 现金 , 应 实 





















































贡 





| 


施 有 效 的 风险 管 理 措施 (如 较 低 的 交易 限额 ` 通 知 安 























排 、 驻 案 监 察 ， 普 具备 可 让 客户 启动 /解除 相 




















能 ， 以 及 能 下 亩 提 丈 限 领 的 弹性 ) 。 








使 用 者 绪 置 
















































































天 功 





持 牌 人 应 假设 使 用 者 装置 会 面 对 保安 风险 , 益 在 设计 、 发 
展 及 维持 支付 服务 时 探 取 遂 当 措施 。 持 牌 人 应 有 保 





安 措 











施 ， 以 防范 不 同情 况 ， 包 括 未 径 授 权 睹 置 存 取 、 恶 



































蕊 程式 、 





或 病毒 攻 吉 ` 流动 装置 受 感染 或 没有 保安 措施 ， 以 及 未 经 








授权 流动 应 用 程式 。 











以 流动 关 置 接 钠 文 付 










































































核实 其 身分 。 
非 接触 式 文 付 * 
为 防 生 潘 在 恶意 攻 现 ， 以 及 应 对 波 漏 数据 、 使 用 





























若 丙 户 使 用 流动 闭 置 接纳 持 牌 人 的 支付 兴 法 ， 应 实施 额 
外 保安 措施 以 保障 汶 动 支付 接纳 闪 法 ， 包 括 价 问 
动 , 普 在 报告 中 记录, 以 及 提供 商户 身分 赣 料 以 供 使 用 者 

















| 里 沼 活 





























被 盗 取 拓 年 / 卡 的 风险 ， 持 牌 人 应 就 非 接触 式 文 付 衫 施 司 

















全 及 有 效 的 保安 管控 措施 ， 包 括 以 下 各 项 : 





























(aa) “进行 非 接 孵 式 文 付 所 需 的 敏感 资料 应 以 安全 方式 





储存 及 存 取 ; 

















取 的 





(ab) “ 非 必 要 数据 应 以 不 会 轻易 被 未 经 授权 人 十 多 

















方式 储存 ; 
(ac) “如 文 付 资料 可 能 受到 转发 /中 继 攻 吏 ， 应 








实施 额外 

















管控 措施 (如 额外 认证 条件 、 较 短 的 动态 支付 资料 有 








” 非 接触 式 文 付 指 利 ) 




































































j 非 接触 式 或 无 银 技术 (如 二 维 码 或 近 异 通讯 技术 ) 在 客户 的 帮 置 



















































































置 ) 及 收 菊 人 (如 








流下 动 装 














2022 妇 














年 3 月 





商 








户 ) 之 问 传 玩 支 付 资料 (如 支付 卡 资料 ) 。 
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(ad) 


持 牌 人 应 实施 周全 及 有 效 的 
测 未 确证 /不 完整 交易 (如 因 有 


声 助 及 时 问 客 








效 期 或 较 低 的 文 付 限 


就 可 用 作者 





颌 ) ; 以 及 


























行 





资料 而 言 互 


销售 腺 难 行 非 接触 式 文 付 的 前 
: 应 蓉 止 使 用 该 等 文 付 资料 在 非 销售 此 准 


# 态 支付 























J 交易 ，; 


不 会 面 对 被 未 经 授权 人 士 猴 





除非 该 等 文 付 次 料 









































-一 


当 去 / 
天 怒 灾 “。 








有 安 管 控 措 
F 摄 或 其 他 运作 原因 )， 


在 难 行 非 接触 式 交 易 时 
取 的 风险 。 


施 ， 以 防 -0 








以 及 





(917 
7.3.4 


附加 指 半 





金 
谷子 
疼 





2 











(a) 

















业 系 人 座 重 访 局 全 的 区 们 你 委 廊 廊 ' 以 小 所 区 /交易 的 贿 纹 | 
RIE , MRANMAFXSD° 


























局 在 评 核 《 指 5[》 第 7.3.4 人 条 所 载 的 保安 措施 是 否 周全 时 ， 
虑 以 下 各 项 : 


时 ， 持 牌 








(ac) 


(ad) 














在 考虑 使 用 单一 认证 条 件 或 多 重 认证 人 条件 
人 了 前 及 在 通过 部 沪 合 可 以 夫 行 的 运作 涉及 的 风 

















包括 遵守 以 下 规定 : 




















在 揉 用 及 其 后 定 
记 证 条 件 的 成 熟 度 及 成 效 ，; 

















就 登记 、 更 改 及 取消 认证 


期 考虑 有 关 认 





牛 或 多 重 











傈 件 实 施 











措施 ， 以 确保 有 关 炙 
和 为 作出 ， 














是 由 真正 的 








若 使 用 电子 证 书 为 认证 人 条 伯 


之 一 ， 




















电子 证书 及 相关 给 是 
以 安全 方式 储存 ; 





























就 电子 钱包 而 言 ， 若 认证 条件 是 由 








(如 送 用 ) 为 不 可 复 筑 ， 














子 钱包 的 相同 流动 套 置 推 济 





出 来 四 

















套 置 查阅 或 存 取 ( 如 

















更 用 者 可 
去 置 接 奸 电子 钱包 及 收取 以 短 讯 形式 发 出 的 


更 用 相 

















使 用 者 妥 

















"确保 有 关 

















安装 了 电 
可 於 相同 
同 的 流动 

















一 次 性 密码 或 生成 一 次 性 密 














人 左 ) ? 


认证 的 成 效 
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便 会 减弱 ， 持 牌 人 应 考虑 於 不 同情 境 下 的 风 
险 状 沉 实施 相称 而 有 效 管控 措施 。 例 子 包括 
要 求 与 有 关 流 动 装 置 优 天 的 认证 人 条件 及 /或 实 
施 其 他 有 效 管控 措施 (如 加 强 诈 又 监察 下调 
储 值 /交易 限额 及 限制 功能 /特点 ) 。 








































































































Gi) 持 牌 人 应 选用 可 靠 肥 有 效 的 认证 方法 ， 以 核实 其 使 
用 者 的 身分 及 授权 。 若 合 余 使 用 以 下 三 个 因素 中 的 
任何 两 个 或 以 上 ， 使 用 者 认证 会 更 具 效 力 ( 即 双重 认 




























































































(aa) ”使 用 者 已 知 的 赣 料 (例如 使 用 者 的 识别 码 及 密 
























































(ab) ”使 用 者 掺 有 的 工具 (例如 由 保安 蜂 示 性 或 持 牌 
人 的 保 案 系统 发 出 只 可 使 用 一 次 的 密码 ) ; 以 
及 










































































(ac) “使 用 痢 本 号 的 特征 (例如 和 视网膜、 指纹 或 声音 
辨识 ) 。 




































































Qi) 看 密码 (包括 个 人 识别 号 码 (PIN) 被 用 作 其 中 一 项 认 
证 因素 ， 持 牌 人 应 就 密码 的 强度 有 健全 的 管控 措施 
(I 最 起 码 的 密码 长 度 ) 。 































































































(iv) 知 以 一 次 性 密码 作为 座 证 条件 ， 持 牧 人 应 遵守 以 下 
规定 (如 送 用 ) : 























实施 稳健 的 主要 管理 方法 以 保障 生成 一 次 性 
密码 的 暗 码 (如 种 子 值 ) ; 











(aa) 








加 




































































(ab) ”定期 评估 一 次 性 密码 是 否 周全 及 有 效 ; 
































(ac) ”加 入 充足 资料 ， 让 使 用 者 能 识别 一 次 性 密码 
的 日 的 及 相关 的 交易 ， 
































(ad) ”在 容许 使 用 者 更 改 收取 一 次 性 密码 的 手机 号 
码 或 装置 前 ， 进 行 遂 当 及 有 效 认 证 ; 以 及 


















































(ae) “ 若 利 用 以 短 讯 形式 发 出 的 一 次 性 密码 ， 作 出 
必要 安排 ,确保 即使 砍 动 了 转 传 短 讯 功 能 ,以 
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(Db) 


(C) 


(d) 


由 


GD) 


短 讯 形式 发 出 的 一 次 性 密码 亦 只 会 
登记 手机 号 码 。 











登 人 管 试 及 全 人 状 态 管理 


有 效 的 管控 措施 包括 
如 错误 输 





























哈 
政 
涨 
出 

[UD 


















































限制 党 试 登入 或 次 证 的 次 数 ( 例 























人 密码 的 次 数 )、 实 施 超时 管制 及 就 认证 的 












































有 效 期 设 定时 限 。 若 以 只 可 使 用 一 次 的 密码 作 认 证 ， 























持 牌 人 应 





民 制 该 密码 的 有 效 期 在 必要 的 最 短 时 间 





















































若 就 江 试 登 人 或 认证 的 次 数 实施 了 限制 ， 而 失败 浓 
试 的 次 数 己 过 到 有 关 限 额 ， 应 暂停 或 永久 停 用 支付 
服务 。 没 有 活动 的 文 付 服务 登 人 状态 亦 应 在 预 设 最 







































































长 时 间 和 后 自动 终止 。 





记 全 活动 


由 


GD) 


(11) 











持 牌 人 应 
计 记 你。 其 服务 应 佬 入 保安 机 制 以 详尽 记 簿 交易 资 





有 


程序 确保 记录 所 有 交易 ， 站 有 送 当 的 审 






























































料 ( 包 括 交 易 编 号 、 时 间 戳 、 参 数 设置 的 修改 及 交易 
资料 的 存 取 )。 














持 牌 人 应 





有 




















称 均 的 记 凶 档案 以 供 检索 以 往 的 资料 ， 














包括 交易 的 增加 、 修 改 或 删除 的 整 全 审计 记录 。 只 有 
多 授 权 人 士 方 可 使 用 该 等 工具 (包括 特许 责任 ) ' 亚 应 














适当 记录 。 






























































若 可 透 过 不 同 渠道 进行 支付 ， 有 了 关 档 案 应 可 清楚 识 























别 有 关 支付 渠道 。 持 有 牌 人 亦 应 识别 及 记录 支付 交易 
的 来 源 ( 例 如 销售 点 、 互 联网 ) 及 收 蒜 人 。 



































(iv) 持 牌 人 应 为 使 用 者 提供 渠道 ， 以 查核 其 以 往 的 交易 。 


由 
































知 使 用 有 关 渠 道 须 收费 ; 金额 应 合理 , 站 应 通知 使 用 














江 。 





欺诈 借 测 系统 






































持 牌 人 应 设 


立交 易 监 察 机 制 ， 以 防范 、 侦 测 及 阻止 欺 

















诈 文 付 交 易 。 可 疑 或 高 风险 交 易 应 经 过 特定 的 节 查 、 





2022 组 














FF 3 月 
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饰 选 及 评 核 程序 。 











(i) 若 储 值 支付 工具 允许 使 用 者 以 绵 定 信用 卡 / 扣 帐 卡 / 
预付 卡 作为 其 储 值 支 付 工 具 帐 户 的 资金 来 源 ; 持 牌 
人 应 实施 天 妾 安排， 由 相关 发 卡 机 构 向 持 卡 人 进行 
认证 (例如 以 短 讯 形 式 发 出 一 次 性 密码 或 其 他 有 效 措 
施 ) ;确认 该 持 卡 人 已 同意 绑 定 有 了 关 信 用 卡 / 扣 帐 卡 / 预 
付 卡 。 馈 值 广 付 工具 至 少 应 在 使 用 者 人 进行 铸 卡 或 第 
一 次 使 用 该 卡 进 行 交 易 时 上 砂 动 上 述 记 证 安排 。 奉 相 
强 发 卡 机 构 灶 不 支援 挂牌 人 所 要 求 的 认证 安排 ， 或 
未 能 与 有 关 持 卡 人 进行 所 须 认 证， 持 牌 人 应 拒绝 接 
受 绑 定 有 了 关 的 信用 卡 / 扣 帐 卡 /预付 卡 。 





































































































































































































Sy 
















































































ii 若 储 值 支付 工具 允许 使 用 者 设立 由 银行 帐 己 直接 扣 
帐 至 其 储 值 支付 工具 帐户 的 指示 ， 持 牌 人 应 实施 遂 
曹 措 施 ， 以 确认 该 扣 帐 指示 已 获得 有 关 银 行 帐 户 持 
有 人 的 授权 。 就 此 ， 持 条 人 应 参考 金管 局 於 2018 年 
10 月 26 日 颁布 的 相关 措施 及 其 他 送 用 指 5| 。 































































































































































































Giv) 若 持 牌 人 按照 其 风 队 政策， 决定 阻止 茶 项 被 识 且 篇 
具有 洪 在 欺诈 成 分 的 支付 交易 ， 持 牌 人 应 邵 可 能 维 
持 最 短 的 阻止 时 间 ， 直 至 有 关 的 保安 事宜 得 到 解决 。 
持 牌 人 的 监察 机 制 应 能 迅速 通知 其 监察 人 员 有 可 疑 
的 网 上 转帐 及 机 冲 活 动 。 在 该 等 情况 下 ' 持 牌 人 应 驴 
快 癌 使 用 者 查核 该 等 交易 或 活动 。 

































































































































































(wj 持 牌 人 应 实施 有 效 措施 ， 以 防 乱 骇 客 透 过 自动 化 工 
具 在 客户 登 人 帐户 过 程 中 进行 自动 化 多 力 攻 贞 及 小 
证 填充 攻 遇 。 

































































由 





(e) ”维持 帐 




















(i) ” 持 脾 人 应 就 高 风险 的 帐户 维持 功能 (如 更 改 密码 、 重 
设 密 码 、 要 求 或 更 改 已 登记 大 置 及 更 改 收 取 以 短 讯 
形式 发 出 的 一 次 性 密码 的 手机 号 码 、 更 改 经 核实 帐 

己 所 有人、 提高 交易 限额 等 ) ， 实施 遂 半 保安 管控 措 

施 及 认证 。 其 中 一 项 民 好 做 法 是 持 牌 人 应 提醒 在 一 

段 较 长 期 间 内 维持 密码 不 人 释 的 使 用 者 定期 更 改 密 
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码 。 


























(i ” 持 让 人 应 就 在 一 段 较 长 期 闻 内 没有 进行 任何 交易 的 

帐户 (不 动 帐 户 ) 实 施 人 额外 管控 措施 。 例 如 持 牌 人 可 停 
止 不 动 帐户 的 支付 功能 ， 直 至 确信 该 帐户 是 继续 由 
真正 的 使 用 者 使 用 。 
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(f) ”帐户 整合 服务 


























() 和 为 妥善 管理 透 过 与 其 他 机 构 合 鹏 提供 的 帐户 整合 服 

务 ? 可 能 产生 的 相关 风险 (如 法 律 、 信 波及 业务 操作 风 
险 ) ' 持 牌 人 应 在 推出 有 关 服 务 前 实施 有 效 管 控 措 施 ， 
包括 但 不 限 於 以 下 各 项 : 





































































































(aa) ”进行 独立 法 律 尽 职 审查 ; 


























(ab) ”实施 遂 竺 管控 措施 以 保障 客户 ， 如 处 理 客 户 
投诉 及 客户 可 能 蒙受 的 任何 财政 损失 的 责任 
分 配 等 ; 









































(ac) ”确保 遵守 送 用 的 本 地 或 境外 法 律 及 监管 规 
定 ， 包 括 个 人 资料 私 隐 规定 (如 让 用 ) ， 



































(ad) “评估 及 消除 因 和 与 采 伴 机 构 的 任何 联 紧 而 于 到 
持 牌 人 系统 及 网 络 人 侵 的 风险 ， 以 及 















































(ae) ”加 客 户 妥 和 为 披露 帐户 整合 服务 的 风险 及 卓 
制 。 





“Ul 











{ 阁 317 髓 | 复 人 让 柑 算 胡 忆 区 人工 秩 合 妥 坷 的 时 分 '， 了 让 丰 镶 刻 且 僻 让 





23 攻 休 工 皇 刻 户 尺 准 fT 启 风 奉 交 姻 ， 沙 以 在 育 舰 洛 刺 作用 周 厅 外 
历 者 绽 各 。 
































附加 指 半 金管 局 在 评 核 持 牌 人 遵守 《指引 》 第 7.3.5 人 条 的 情 沉 时 ， 会 考虑 
以 下 各 项 : 


































































































: 知 持 牌 人 提供 帐户 整合 服务 ' 一 般 是 容许 使 用 者 遂 迪 持 牌 人 营运 的 电子 钱包 或 平台 接连 於 其 他 
机 构 ( 可 以 是 境外 机 构 ) 天 设 的 帐户 ， 而 无 需 使 用 者 另行 登 人 该 等 机 构 的 平台 。 
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(a) 使 用 者 帐户 的 管理 


























GD， 若 持 牌 人 容许 使 用 者 泛 过 网 上 渠道 开设 
用 可 徊 方法 核实 使 用 者 的 号 分 。 








所 ， 应 操 


xIM 























i 




















(i) 持 牌 人 应 在 使 用 者 要 求 更 改 帐 户 资料 或 联络 资料 (有 
需 资 料 可 供 使 用 者 用 作 收 取 重 要 资讯 或 监察 其 帐户 
的 活动 )] 时 ， 充 分 查核 使 用 者 的 吴 分 。 此 外 ， 持 牌 人 
庭 探 取 措 施 防 范 及 侦 测 与 有 了 关 更 改 可 能 涉及 的 欺诈 
情况 。 

























































































(b) 对 高 风险 交易 的 管控 

















G) ” 持 牌 人 在 决定 哪些 交易 类 型 属 高 风险 交易 时 ， 订 顾 
及 交易 的 风险 状 沉 及 评估 ， 以 及 认证 方法 的 成 效 等 
相关 因素 。 持 牌 人 在 每 次 执行 高 风险 交易 前 , 在 情 沉 
许可 下 ， 都 应 进行 与 该 等 风险 相称 的 有 效 的 管控 措 
施 , 如 双重 认证 或 其 他 减低 风险 的 措施 ,以 重新 核实 
使 用 者 身分 。 高 风险 交易 至 少 应 包括 : 


























































































































(aa) ”超越 预 设 交 易 限额 的 交易 ; 














, 














(ab) ”更 改 可 让 使 用 者 监察 其 帐户 活动 的 个 人 联络 
资料 ; 









































(ac) ”超越 合计 滚动 限额 ( 即 在 一 段 时 间 内 的 交易 纺 
领 ) 的 交易 ， 除 非 不 可 能 就 有 关 的 储 值 支付 工 
具 党 实 执 行 有 关 管 控 ; 




































































(ad) ”和 为 收取 一 次 性 密码 或 通知 等 目的 而 绑 定 社交 
妹 体 帐户 ， 















































(ae) ”启动 可 以 无 需 提供 个 人 身份 识别 号 码 (PIN) 亦 
可 难 行文 付 的 功能 ( 盆 可 用 於 商 户 文 付 必 ;以 
及 























(af) ”在 电子 钱包 展示 使 用 者 的 所 有 联络 资料 或 二 













































































“就 叱 情况 而 言 ， 持 牌 人 亦 应 让 客户 清楚 知悉 其 已 启动 此 功能 。 此 规定 亦 送 用 於 在 开户 时 已 预 设 
启动 此 功能 的 情况。 和 为 施行 此 规定 ， 挎 需 提供 个 人 身份 识别 号 码 亦 可 进行 支付 的 功能 一 般 不 应 用 
作 进 行 个 人 对 个 人 交易 。 
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维 码 





























Gi) 持 牌 人 应 界定 每 未 交易 的 限额 ， 同 时 除非 不 可 能 就 
有 关 的 储 值 支付 工具 落实 执行 ， 盏 则 亦 应 在 考 卡其 
欺诈 监察 能 力 、 每 个 储 值 支付 工具 的 最 高 储 值 领 (如 
遂 用 )、 每 日 增值 上 限 (如 荐 用 ) 及 所 实施 的 其 他 防范 
欺诈 的 保障 机 制 后 界定 滚动 限额 。 持 牌 人 应 清 芭 通 
知 使 用 者 有 关 限 人 额 。 






















































































cA 



















































































(c) 向 使 用 者 发 出 通知 














GD ” 角 能 及 时 价 测 可 能 因 欺 诈 活 动 而 引起 的 未 经 授权 交 

易 ， 一 旦 使 用 者 礁 行 高 风险 交易 或 超 使 用 者 在 其 帐 
户 设 定 的 限额 (如 送 用 ) 的 交易 时 ' 持 夯 人 应 坊 可 能 
即 通 知 使 用 者 。 交 易 提 示 应 包括 交易 的 来 源 及 金额 
等 资料 ， 以 声 助 使 用 者 识 列 真正 的 交易 。 
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(i 持 牌 人 在 决定 哪些 交易 类 型 应 在 完成 化 透 过 有 效 深 
道 回 使 用 者 发 出 通知 时 ， 应 恬 及 交易 的 风险 状 帝 及 
评估 。 作 为 一 般 参 考 基 淮 ， 以 下 交易 类 型 应 发 出 通 
知 : 
















































































(aa) “于 非 在 销售 点 难 行 的 交易 (如 无 卡 交 易 ) ; 





























(ab) 险 二 维 码 文 付 ， 


忆 
型 





(ac) ”高 风险 境外 销售 点 交易 ; 
































(ad) ”高 风险 自动 私 员 机 提 丈 交易 ，; 

















(ae) ”可 疑 帐 户 登 和 或 未 经 双重 认证 的 帐户 


局 
se 








(af) ”更 改 支 付 限额 ; 





























(ag) ” 瞩 动 可 以 扰 需 提供 个 人 身份 识别 号 码 亦 可 浊 
行 支付 的 功能 ， 


(ah) 。 更 改 联络 资料 
(ail 。 更 改 认证 方法 ; 




















(aj) ”在 没有 提供 个 人 身份 识别 号 码 的 情 帝 下 进行 
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文 付 ( 仅 限 於 非 实 髓 形式 的 支付 ) ; 以 及 








(ak) ”未 经 双重 认证 便 转帐 贪 金 至 第 三 方 ( 仅 限 於 非 
实体 形式 的 转帐) 。 


























(ii) 在 决定 选用 哪 种 通知 渠道 (如 短 讯 、 电 地 或 in-app 通 
知 ) 时 , 持 牌 人 应 考虑 交易 的 风险 及 有 关 渠 道 的 成 效 。 
若 选 用 短 讯 通知 ， 持 牌 人 应 与 流动 网 铬 营运 商 实施 
相关 管控 措施 ， 以 确保 有 了 关 的 短 讯 通知 能 传送 至 已 
预先 登记 的 手机 号 码 及 转 传 香港 手机 路 码 (如 使 用 者 
已 就 其 手机 号码 启动 转 传 短 讯 服务 ) 。 
































































































































(iv) 知 使 用 者 要 求 持 牌 人 不 作出 有 关 通 知 ， 持 订 人 应 确 
保 设 有 区 善 送 竺 的 程序 及 步 腑 ， 包 括 : 












































(aa) ”向 使 用 者 解释 如 不 向 使 用 者 发 出 有 关 通 知 的 
潜在 风险 及 任何 对 其 他 服务 造成 的 影响 ， 半 
要 求 使 用 者 确 座 其 了 解 相关 风险 及 影响 ， 















































(ab) 为 认证 使 用 者 身分 ， 确保 有关 要 求 是 由 真 
正 的 使 用 者 提出 (如 注 用 ) ; 



































(ac) ” 若 有 了 关 使 用 者 要 求 接收 有 关 通 知 ， 应 接受 有 
天 要 求 ;以 及 



































(ad) ”就 上 述 程序 备 存 妥善 记 尔 。 
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7.3.6 


附加 指 半 


大 也 人 说 琵 多 方 茂 M 三 新 汇 注册 委 使 扼 历 谓 广 支 让 了 得 历 扰 
历 考 帮 人 拒 评 印 R 芒 入 


金 


名 

















局 在 评 核 持 牌 人 是 否 遵守 《指引 》 第 7.3.6 人 条 时 会 考虑 以 下 





运 喊 

















(a) 回 使 用 者 提供 的 保安 提示 















































GD 持 牌 人 应 提醒 使 用 者 ， 他 们 有 责任 探 取 合理 的 保安 
措施 以 保护 其 用 於 文 付 的 套 置 ， 以 及 妥善 保管 及 保 
密 其 支付 服务 的 密码 。 此 外 ' 持 牌 人 应 遂 过 有 效 的 方 
法 及 多 个 渠道 ,向 使 用 者 提供 易 於 明白 、 显 眼 及 定期 
予以 检讨 的 保安 措施 提示 。 
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G 此 外 ， 持 牌 人 应 管理 有 关 欺 诈 电 邮 “、 网 站 及 流动 应 
用 程式 请 使 使 用 者 透露 敏感 使 用 者 资料 〈 如 登 人 识 
别 码 、 密 码 及 只 可 使 用 一 次 的 密码 ) 的 风险 。 尤 其 
持 牌 人 应 定期 搜寻 互联 网 及 应 用 程式 商店 (App 
stores)， 查 看 是 否 有 虚假 或 可 疑 网 站 或 应 用 程式 。 

知 持 牌 人 发 现任 何 会 令 公 只 误会 是 来 自持 牌 人 的 虚 

段 或 可 疑 电 邮 、 网 站 或 应 用 程式 ， 或 可 由 非 正式 深 

道 下 载 其 应用 程式 ， 持 牌 人 应 及 时 决定 是 否 需 要 知 

便 其 使 用 者 及 公 礁 ， 以 及 向 警方 及 金管 局 符 报 有 关 

宜 。 
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(b) 与 使 用 者 联营 














GD， 持 牌 人 应 提供 至 少 一 个 安全 有 渠道， 就 正确 及 安全 使 
用 文 付 服务 与 使 用 者 保持 联 蒙 。 持 牌 人 应 知 会 使 用 
者 此 一 渠道 ， 斑 襄 明 任何 透 过 其 他 方式 代表 持 牌 人 
发 出 的 讯 县 都 不 可 靠 。 持 牌 人 应 遂 过 该 安全 渠道 通 
知 使 用 者 有 关 文 付 服务 保安 措施 的 最 新 资讯 。 任何 
有 关 新 出 现 的 重大 风险 的 提示 亦 应 透风 这 个 安全 渠 
道 提供 予 使 用 者 。 












































































































































Gi) 持 牌 人 应 就 所 有 问题 ` 投诉、 文 援 要 求 及 有 了 关 文 付 及 
相关 服务 的 受 常 情 沉 或 事件 的 通知 为 使 用 者 提供 协 
助 ， 疗 应 通 当 知 会 使 用 者 有 关 如 何在 可 能 有 第 三 方 
参与 的 情况 下 取得 有 了 关 协 助 。 














































































































































































































































































































( 阁 3/) 厄 化 人 座 攻 和 突 移 公司 疗 19 获 吉 、 径 秀 司 会 19 损 度 租 秀 及 定 舱 浴 
2 订 保 交 济 央 , 以 太 获 月 疡 及 月 基本 能 几 现 涉及 真 阴 往 支 所 了 
的 邹 移 保安 属 队 。 
附加 指导 金管 局 在 评 核 持 牌 人 是 否 遵守 《指引 》 第 7.3.7 条 时 ， 会 考虑 以 
下 各 项 : 
(a) 网 络 保安 风险 管理 程序 
若 持 牌 人 非常 倚赖 互联 网 及 流动 技术 提供 服务 ， 则 应 透 
过 持 牌 人 的 科技 风险 管理 程序 妥善 管理 网络 保安 风险 。 
持 牌 人 亦 应 投放 足 匆 资源 以 确保 有 能 力 识别 风险 、 保 障 
其 关 刍 服务 免 受 攻 获 、 控 制 钢 络 保安 事件 的 影响 逆 恢 复 
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服务 。 


(b) 网 络 威 儿 次 8 




















持 牌 人 应 震 贴 网 络 威 背 的 趋势 ， 闻 可 考 钻 订购 与 其 业务 
相关 的 优质 网 络 威 略 吐 讯 服务 ， 以 加 强 其 及 时 精确 地 应 
对 新 天 型 的 威 化 的 能 力 。 持 牌 人 亦 可 寻求 机 会 与 其 他 机 
构 共 至 及 收集 网 络 威 阁 资讯 ， 以 使 储 值 支付 工具 业 寞 能 
更 有 效应 对 及 管理 网 络 保安 风险 . 















































































































































(c) 渗透 测试 














持 牌 人 应 定期 评估 进行 渗 遂 测试 的 需要 。 测 试 内 容 及 药 
图 应 以 网 络 保安 风险 状 沉 为 依据 ， 不 俊 涵 六 岗 络 (外 部 及 
为 部) 及 应 用 系统 ， 亦 应 包括 社交 工程 威 合 及 新 出 现 的 网 
络 威 欧 。 持 牌 人 应 根据 影响 及 风险 承担 分 析 的 络 采 ， 及 
时 揉 取 送 帝 行动 ， 以 减轻 在 渗透 测试 中 所 发 现 的 问题 、 
威 全 及 弱 是 。 
















































































(d) 互联 网 连接 克 置 




















随 着 互联 网 演 驳 ， 越 来 越 多 此 置 或 设备 内 置 可 过 接 互联 
网 的 功能 。 这 些 套 置 的 网 络 连 接 功 能 经 常 处 於 启动 , 状 
态 ， 可 能 会 构成 更 多 端点 让 渗透 者 可 进入 持 牌 人 的 关键 
资讯 科技 基础 设施 。 持 牌 人 应 留意 相关 风险 ' 普 探 取 相 应 
的 遂 当 措施 。 




































































{ 共 35// 胡 修 人 详 寿 供 狼 兵 侵 启 芭 休 工 和 于 作 模式 航 们 的 和 并 家 尼 可 
X38 第 的 垦 记 区 1 工 及 艾 17 扫 廊 




















附加 指 半 (a) 一 般 而 言 ， 效率 及 可 靠 程度 应 按 可 量度 的 效能 指标 评 核 ， 
例如 回放 时间、 交易 处 理 量 、 系 统 容量 、 系统 可 用 性 及 稳 
定性 " 持 牌 人 应 参照 有 关 效 率 及 可 靠 性 的 预 设 指标 测试 及 
监察 其 储 值 支付 工具 。 就 高 效能 要 求 的 服务 商 尸 (例如 公 
共 运 输 服 务 提供 者 ) 的 储 值 支付 工具 而 言 ， 持 牌 人 应 与 有 
己 议定 预期 效能 指标, 站 投入 充足 资源 以 确保 符合 有 


指标 。 
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《指引 》 第 7.4 人 条 一 持续 业务 运作 管理 

{ 阁 317 业 系 人 座 广 局 全 的 他 全 闫 六 2 从 1/F 鲁 231 痢 /' 俯 fR 一 丘 罗 下 司 

ZA 房 况 7/ 私下 帮 十 讶 好 避 欠 扫 尺 尺 好 信人 扰 反 大 多 从 fF， 到 77 
情 名 让 方 访 纵 沈 友 励 多 三 fFHI 碑 谋 。 























附加 指 半 (a) 一 般 而 言 ' 周 全 的 持续 业务 运作 管理 计划 包括 业务 影 唤 分 
析 、 恢 复 策略 、 业 务 持续 运作 计划 及 业务 及 资讯 科技 运作 
复原 的 人 备用 场地 。 下 文 载 有 相关 膏 明 。 






































业务 影响 分 析 


(b) 业务 影响 分 析 通 冲 包 括 两 个 阶段 。 第 一 阶段 是 OO) 识别 可 能 
在 一 段 时 间 内 (可 长 可 短 ) 令 持 牌 人 的 服务 中 断 的 小 在 情 
沉 ;以 及 (i 识别 在 服务 中 断 一 段 较 长 时 间 的 情况 下 ,必须 
维持 的 最 低 程 度 的 关键 服务 。 


























































































































(c) 第 二 障 段 的 业务 影响 分 析 是 时 限 评 估 , 目的 是 制定 切合 实 
际 、 可 量度 及 可 和 去 到 的 主要 恢复 运作 时 间 目 标 : (1) 恢 复 最 
低 程度 的 关键 服务 前 可 容忍 的 最 长 停止 运作 时 间 ;(2) 关 键 
凌 讯 科技 资源 的 恢复 运作 时 间 目 栋 ; 以 及 (3) 回 复 俱 料 的 恢 
复 灶 目标 。 



































































































































(d) 持 牌 人 应 考 应 从 科技 风险 事件 及 经 营 环 境 的 变化 (例如 科 
技 应 用 的 变化 、 新 产品 /服务 的 提供 、 业 务 规 模 显 兰 扩 大 等 ) 
所 得 到 的 启示 ， 定 期 检讨 业务 影响 分 析 。 

恢复 策略 


(e) 持 牌 人 应 有 一 套 恢复 策略 ， 而 有 关 策 略 应 有 清晰 文件 记 
纱 、 经 全 面 测试 及 定期 演 庆 ， 以 确保 能 过 到 恢复 目标 。 






























































































































































G， 其 中 一 项 关键 的 服务 恢复 元 素 是 稳妥 完善 的 记 俏 管理 " 持 
牌 人 应 有 有 效 措施 ， 以 确保 所 有 业务 记录 , 尤其 是 使 用 者 
记 人 ' 一 旦 簿 失 、 受 损 或 遭 破 坟 ' 可 及 时 修复 。 重 要 的 是 ， 

持 有 牌 人 须 容许 使 用 者 及 时 存 取 其 本 身 的 记录 。 





























































































































(g) 持 牌 人 在 决定 最 低 服 务 水 平 及 恢复 日 标 时 ;应 考虑 多 项 相 
关 因 素 ; 包括 但 不 限 於 关 键 服务 /系统 的 相互 倚赖 程度 、 使 
用 者 及 其 他 利益 关 休 方 对 其 服务 的 速度 、 稳 健 性 及 可 靠 性 
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的 要 求 ， 以 及 法 律 及 信和 小 风险 的 影响 。 
业务 持续 运作 计划 


预期 姜 务 持续 运作 计划 包括 : 9 局 动 孵 委 服务 恢复 宋 
详细 程 ; (四 过 到 语 峻 或 长 时 间 的 服务 中 断 情 帝 时 的 

上 报 程 序 及 危机 管理 程序 (例如 设立 指 掉 中 心 、 及 时 向 金 
管 局 汇报 ) ; (i 积极 主动 的 通讯 策略 (例如 通知 客户 、 回 应 
、 ; (iV) 参 与 业务 持续 运作 计划 的 主要 人 员 的 最 新 联 
名 资料 (应 提供 予 金管 局 )， 以 及 (V) 就 关键 系统 的 焦 复 指派 


业务 及 资讯 科技 运作 复原 的 人 备用 场地 
0) 场地 挑选 


























(h) 

























































































































































































GD ” 持 牌 人 应 检视 主要 业务 部 门 集中 於 相 同 或 部 近 地 点 
的 程序 ,以 及 傅 用 场地 与 主要 场地 的 距离 。 人 备用 场地 
认 与 主要 场地 保持 一 定 距 苑 ， 以 免 受 相 同 的 党 害 影 


纺 B 。 
厂 ” 



























































(Gi) 持 牌 人 的 人 备用 场地 应 易 於 准 入 ， 配 人 备 遂 党 设 施 於 业 
务 持续 运作 计划 指明 的 时 间 要 求 内 可 供 估 用， 以 及 
实施 广 备 的 进入 场地 管控 。 持 牌 人 亦 应 特别 留意 将 
运作 于 至 人 备用 场地 的 交通 运输 安排 。 















































9) ” 凌 讯 科技 建 作 复原 的 人 备用 场地 

















G) 资讯 科技 复原 的 备用 场地 应 有 充足 的 技术 设备 《〈 包 
括 通 讯 设 雷 )， 以 应 付 复原 要 求 。 该 设备 应 为 遂 备 型 
号 及 有 通 当 容量 。 若 持 牌 人 的 主要 外 方 的 主要 场地 
痢 近 持 牌 人 的 主要 场地 ， 应 考虑 在 其 备用 场地 导 该 
等 主要 外 方 的 备用 场地 之 问 建立 通讯 联 枯 。 

















































































































4d49 由 供应 商 或 其 他 机 构 提 供 的 备用 场地 























0) ” 持 牌 人 应 避免 过 度 倚赖 外 部 供应 商 提 供 业 务 持续 运 
作 支援 。 持 牌 人 应 能 确信 该 等 供应 商 有 能 力 在 有 需 
要 时 提供 服务 , 站 应 清楚 广 明 供应 商 的 合约 责任 , 包 
括 提供 支援 的 时 间 、 类 型 及 容量 等 。 
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(Gi) 若 持 牌 人 倚赖 外 部 提供 者 提供 的 共用 电脑 服务 (例如 
云 病 运算 ) 以 支援 其 炎 欢 复原 ， 谭 管理 该 等 服务 所 涉 
及 的 风险 。 有 了 关 资 讯 科 技 外 判 指 5[， 晃 ”外 判 管理 ， 


















































































































































































































































































































































































































































































































































































































































部 分 。. 
人 籽 稳 人 的 羡 田 局 尺 启 级 入 再 外 基 类 谓 邮 纺 光 / 握 镶 二 尺 类 议 桂 
7.4.2 得 训 /F 半 前 fH 到 妥 钼 有 有 谍 终 其 他 。 乓 | 笋 人 的 面筋 局 尺 启 统管 吉 
唇 习 了 答 侨 美 殉 硅 扰 矿 /F 各 殊 凤 辟 受 更 次 算 :站 级 香 了 南 遍 硫 都 
每 育 恼 寺 喜 :尼克 成 让 从 蓉 汇 依 访 直 喜 。 
附加 指导 金管 局 在 评估 核 牌 人 的 董事 局 及 高 级 管理 届 有 人 否 履行 《指引 》 
第 7.4.2 人 条 所 述 的 职责 时 ， 会 考虑 以 下 各 项 : 
董事 局 及 高 级 管理 层 的 监察 
(a) 确立 真 任 
G) ” 持 有 牌 人 的 高 级 管理 层 应 清楚 确立 哪个 部 门 负责 管理 
整个 业务 持续 运作 管理 程序 ， 以 及 确保 该 部 门 有 充 
足 的 资源 及 专门 知识 。 
(b) 监察、 汇报 及 批准 
G) ”业务 持 镇 运作 管理 部 门 应 定期 向 董事 局 及 高 级 管理 
届 提 交 有 关 业 务 持续 运作 计划 测试 的 报告 ， 以 及 向 
高级 管理 层 苞 报 有 关 业 务 持续 运 作 计划 的 任何 重大 
改动 。 
Gi) 董事 局 及 高 级 管理 层 应 确保 审计 周全 地 涵盖 其 业务 
持续 运作 计划 ， 以 确定 计划 是 否 切 合 实 了 床 、 继 续 这 
用 ， 以 及 符合 挂牌 人 订立 的 政策 及 标准 。 
(i) 锻 於 业务 持续 运作 管理 的 重要 性 ， 持 牌 人 的 行政 纺 
裁 应 就 所 探 纳 的 恢复 策略 是 否 仍然 有 效 ， 以 及 所 记 
录 的 业务 持续 运作 计划 是 否 经 过 有 善 测 试 及 维持 ， 
编 曾 及 化 署 正式 的 周年 声明 ， 以 提交 董事 局 。 
业务 持续 运作 计划 的 实施 
(c) 测试 及 演习 
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置 、 主 要 及 候补 相关 人 员 应 参与 周年 测试 ， 
下 恢复 运作 中 的 责任 。 




















GD 持 订 人 应 至 少 每 年 一 次 测试 其 业务 持续 运作 计划 。 
不 















































Gi) 在 计划 周年 测试 时 ， 持 牌 人 应 检视 所 有 业务 持续 还 
作 计 划 的 相关 风险 及 假设 ; 确保 其 仍然 送 合 。 持 牌 人 
亦 应 编 抠 正 式 测 试 文件 (包括 测试 计划 ` 设 想 的 情况、 
程序 及 结果 )， 以 及 事 合 检讨 报告 ， 供 高 级 管理 恬 下 
式 签署 作 实 。 若 测试 结果 显示 业务 持续 运作 计划 存 
在 弱点 或 漏洞 ， 订 更 新 有 关 计 划 及 恢复 策略 以 纠正 
有 了 关 情 况 。 
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(d) 定期 保养 





























GD 持 订 人 应 有 正式 的 变动 管理 程序 ， 以 确保 其 业务 持 
续 还 作 计划 因应 任何 相关 变化 作出 修订 。 知 计划 被 
所 动 ， 持 牌 人 应 在 恢复 正常 运作 和 合 ， 立 即 作出 检讨 ， 
以 识 列 可 作出 改 礁 的 地 方 。 知 需要 供应 商 提供 重要 
恢复 运作 服务 ， 应 定期 检讨 服务 水 平 妃 议 。 
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GD 业务 及 文 援 部 门 应 在 业务 持续 还 作 管 理 部 门 的 协助 
下 每 年 检讨 其 业务 影响 分 析 及 恢复 策略 ， 以 确 
证 业务 持续 运作 计划 要 求 的 有 效 性 


Gii) 在 接 获 有 关 主 要 人 员 、 半 于 、 使 用 者 及 服务 提供 者 的 
联络 资料 的 更 改 通 知 合 ， 应 坊 快 予以 更 新 。 













































































(iv) 业务 持续 运作 计划 文件 的 副本 应 储存 於 主要 场地 以 
外 的 地 时 。 在 鹤 侣 情 帝 下 应 揉 取 的 主要 措施 概要 应 
提供 予 高 级 管理 屋 及 保存 於 多 个 地 哑 。 



























































ll 


























2022 年 3 月 第 41 页 











储 值 支付 工具 持 牌 人 监管 的 应 用 膏 明 


38， 经营 手 法 及 操守 


《指引 》 第 82 条 一 操守 标准 及 经 营 手 法 
《 阁 317 业 黎 人 座 磅 氛 且 底 例 尺 ( 如 和 衣 加 前 从 访 反 扫 有 其 鹿 守 硬 淮 的 良好 
8.2.3 食堂 天 活 。 





附加 指导 (一般 而 言 ' 持 牌 人 至 少 应 探 钠 以 下 经 党 手法 : 




















GD ， 持 牌 人 应 进行 画 职 审查 ， 以 确保 其 发 出 的 所 有 宣传 资料 
都 正确 ， 没 有 误 半 成 分 ; 












































(Gi) 持 牌 人 可 和 运用 其 网 站 及 流动 应 用 程式 提供 与 电子 商 质 人 
门 网 站 及 其 他 网 上 商户 的 连结 。 知 提供 该 等 连结 , 持 牌 人 
放 管 理 信 餐 风险 ， 兰 有 关 的 电子 商贸 人 门 网 站 及 商户 进 
行 尺 职 审查 , 以 确定 其 为 真正 的 公司 ,从事 正当 合法 的 业 
务 ; 以 及 

































































































































































Gi 持 牌 人 的 网 站 或 应 用 程式 可 提供 超 连 络 连 全 提供 金融 产 
品 及 服务 的 顾问 及 /或 销售 服务 的 其 他 网 站 。 惟 持 牌 人 应 
寻求 外 聘 法 律 意 见 ， 以 确保 有 了 关 安 排 符合 所 有 有 了 关 法 律 
及 监管 规定 。 持 条 人 应 列 明 有 关 产 品 及 服务 由 第 三 方 提 
供 ， 亚 在 其 钢 站 或 应 用 程式 加 入 免责 声明 ' 说 明 该 等 超 达 
络 与 其 储 值 支 付 工 具 业 务 无 关 ， 同 时 有 关 产 品 及 服务 站 
未 钨 持 牌 人 或 金管 局 或 任何 其 他 主管 当局 认可 。 

















































































































































































































{ 兰 3/)  ” 籽 超 人 不 息 扫 撕 久 和 是 全 靖 罗 多 祝 失 人 RTI 入 吏 入 MI 芒 H 的 321 讨 ) 
6.2.4 
附加 指导 ”(a) 为 免 引 起 疑问 ' 持 牌 人 可 以 提供 兹 非 以 储 值 金额 的 多 寡 为 依据 
的 奖励 计划 ， 例如 以 交易 为 基 克 的 计划 。 然 而 ， 持 夯 人 应 确保 
闻 能 证 明 在 商业 上 有 关 计 划 可 行 及 可 持续 。 持 牌 人 应 进行 岂 格 
的 分 析 ， 确 保 其 计划 的 预算 影响 受到 懂 格 控制 。 



















































































《指引 》 第 8.3 条 一 计划 及 运作 规则 
{ 阁 317 馆 让 区 /7 工 折 的 广 f 扬 杭 月 基 扩 1 有 有 有 已 儿 力 前座 公 半 。 皇 笋 人 座 亡 
8.3.1 区 有 AF LAA ° 
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附加 指导 (a) “ 储 值 支付 工具 计划 的 运作 规则 应 涵 著 储 值 支付 工具 的 整体 

业务 运作 ， 包 括 但 不 限 认 使 用 者 帐户 的 开 立 及 稚 沪 ; 商户 
收 单 服务 及 与 业务 合作 影 伴 的 协议 关 你 ; 交易 前 后 及 付款 
授权 程序 。 













































































(b) 知 持 牌 人 所 5 引 和 业务 合作 采 伴 (例如 聘用 收 唱 机 构 拓 展 受 
里 商户 ) ， 应 确 保 与 该 业务 合作 团 伴 的 安排 不 便 影 响 持 有 牧人 
履行 《支付 条例 》 下 有 关 储 值 支 付 工 具 运 作 安 全 及 有 效率 
的 规 管 入 务 ， 尤 其 : 











































































































() 持 牌 人 与 该 业务 合作 彩 伴 建立 业务 关 像 前 ， 应 进行 坟 
职 审查 仔细 评估 当中 涉及 的 风险 ， 亚 设立 周全 的 管控 
机 制 以 减低 所 识 列 之 风险 ， 












































(i 持 牌 人 应 透 过 订立 清晰 的 服务 水 平声 议 ， 清楚 列 明 亿 
方 就 有 了 关 业务 安排 的 相关 义务 及 责任 ， 以 有 效 制订 和 
执行 其 与 业务 合作 采 伴 的 央 议 天 你 。 同时， 协议 关 休 
亦 设 有 所 和 需 保 障 措 施 以 确保 储 值 支付 计划 的 运作 安 
全 及 效率 。 如 涉及 商户 收音 服务 , 持 牌 人 亦 应 确保 该 
收音 机 构 答 商户 的 声 议 关 休 符合 上 述 要 求 ， 
































































































































(ii) 持 牌 人 应 实施 遂 备 管控 及 监察 其 与 业务 合作 彩 伴 的 
业务 安排 (例如 属 收 单机 构 ， 应 确保 该 收音 机 构 有 妇 
善 制度 处 理 与 商户 的 款项 交 收 )' 普 减低 任何 澄 在 的 洗 
钱 及 忆 所 分 子 资金 筹集 风险 ， 以 及 

















































































































(iv) 持 牌 人 应 确保 其 与 业务 合作 彩 伴 的 安排 符合 《 私 隐 人 条 
例 》 及 有 关 保 障 资 料 的 相关 监管 指 5|， 以 保障 其 使 用 
者 的 利益 。 




































































人 阁 313 闻 仇 人 仿 户 姨 区 轨 尺 万 障 及 计 厦 ` 工 居 ` 报 入 尺 大 反 的 主要 迁 答 、 
8.3.4 帮 怪 `、 侯 就 尺 侯 他， 以 RR 访 权 医 、 刚 于 RR 会， 六 有 77 
芯 厅 攻 用 化 大 了 育 篇 扼 呈 测 名 友 政 同 。 疹 俱 人 篇 役 下 用 从 龙 生 
和 散户; 名 乞 镁 沼 / 的 区 各 ， 以 邦 央 多 丰 南 吉 、 了 工 复 成 政 有 尼克 和 HAM 
仔 答 ` 旋 共产 有 ER 也 WYN * AR EB 
的 及 大全] 访 辣 RRI) I[I 莹 有 尺 收 茵 儿 和 钥 '， 人 RR 

须 芭 1y 衣 篇 党 厄 玉 傣 澳 在 次。 
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附加 指 半 (a) 持 牌 人 应 按照 符合 《 私 隐 条例》 的 规定 及 私 隐 公署 不 时 发 出 
的 任何 相关 实务 守则 、 指 引 及 最 佳 做 法 的 方式 ， 清楚 列 明 其 
个 人 资料 政策 及 做 法 。 





















































(b) 如 有 需要 ' 持 牌 人 应 提供 方法 让 使 用 者 在 签约 使 用 有 了 关 服 务 
/产品 前 ， 确 认 已 阅读 有 关 使 用 该 等 服务 /产品 的 主要 资料 及 
披露 事项 。 例 如 在 载 有 主要 披露 事项 的 网 页 提供 确认 选项 ， 
让 使 用 者 藉 选 取 有 了 关 选项 声明 已 阅读 其 中 所 载 的 披露 事项 。 










































































































































































{ 阁 317 业 化 人 大 芍 雄 角 让 艾 /J 工 提 新 讲 I 短 健 作 向 全 黄 ， 0 
8.3.5 话 在 让 癌 并 和 叙 鲜 和 的 请 江 下 太 用 过 旋 户 1 所 镶 许 局 的 旋 

















附加 指 半 (a) 持 牌 人 在 所 有 情 沉 下 都 应 遵守 《指引 》 第 8.3.5 人 条 。 除 非 持 牌 

人 能 证 明 使 用 者 以 欺诈 方式 行事 、 刻 重 瑰 义 ( 例 如 未 能 妥善 
保障 让 其 储 值 支付 工具 服务 /产品 的 卡 、 维 置 或 密码 ) 在 发 更 
或 相信 其 帐户 (例如 使 用 储 值 支付 工具 服务 /产品 的 卡 、 纺 置 
或 密码 ) 人 资料 外 涛 、 已 遗失 或 被 盗 取 或 发现 或 相信 和 经 其 帐户 
进行 了 未 经 授权 交易 后 未 能 在 切实 可 行情 况 下 境 快 通知 持 
牌 人 ,个 则 使 用 者 不 应 对 经 其 帐户 进行 的 未 经 授权 交易 而 蒙 
受 的 任何 直接 损失 负责 。 




















































































































































































































《指引 》 第 8.4 人 条 一 投诉 处理 

{ 阁 317 业 笋 人 的 故 训 和 镶 埋 拉 基 座 全 友 、 怀 静 曙 旦 、 可 代 角 僻 区 1J 工 乱 

5 和 货 万 青 秃 厄 及 姑 成 动 公交 和 大 夏 碘 丰 帮 大 记 语 的 沪 、 
复 光 底 及 残 赢 : 以 及 散 徐 生计 党 的 峰 移 作 、 记 下 克 丰 各 散 ` 厌 
RR NRAN IERII RNA ' YI 人 篇 局 ffFLH 强 党 
刁 访 。 





























附加 指 半 在 评 核 持 牌 人 遵守 《指引 》 第 8.4.2 人 条 的 情况 时 ， 金 管 局 一 般 
会 考虑 以 下 各 项 ， 闻 考虑 持 牌 人 的 业务 规模 及 复杂 程度 : 

































































(a) 有 全 面 及 有 具 透明 度 的 投诉 处 理 政策 ' 训 投 诉 可 以 迅速 、 客 
观 、 公 平 、 一 致 及 保密 的 方式 得 到 处理 ; 以 及 有 送 当 的 管 
里 措施 ， 监 察 遵守 及 妥善 实施 有 了 关 政策 及 程序 的 情 沉 ; 


























tt 



























































(b) 有 了 关 提 出 投诉 的 方法 及 地 点 应 清晰 、 明 确 ; 投诉 人 可 易 於 
到 访 及 明白 。 有 充足 渠道 及 方法 让 投诉 人 提出 投诉 ， 站 应 
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以 周全 及 及 时 的 方式 向 投诉 人 适当 地 确 降 投诉 ， 闻 告知 其 
跟 进 行动 、 回 应 及 结果 ; 





























(c) 有 有 效 的 政策 及 程序 以 确保 投诉 人 的 私 隐 * 其 中 包括 清晰 
的 程序 以 保障 投诉 人 的 身分 ' 同时 确保 与 投诉 人 相关 的 资 
料 仅 限 於 有 需要 知道 的 负责 员工 才 会 知悉 ; 






















































































(d) 投放 充足 资源 (包括 具备 相关 技能 、 培 训 、 授 权 及 独立 性 的 
员工 ), 以 确保 投诉 得 到 有 效 及 迅速 的 处 理 及 跟 进 ,以 及 有 
有 效 机 制 读 持 牌 人 的 高 级 管理 届 监 察 投诉 不 理 的 进度 及 
过 程 ; 
































































































































(e) 若 投诉 得 到 确立 ,要 在 合理 期 限 内 向 投诉 人 提供 满意 的 补 
救 及 纠正 方案 站 建立 有 效 的 制度 以 能 在 考虑 到 投诉 的 相 
关 情 沉 及 性 质 和 合 决 定 有 关 的 补救 及 纠正 方案 ; 以 及 


































































































() ”有 清晰 的 投诉 不 理 问 责 制 度 ; 疗 以 投诉 为 推行 进一步 改进 
组 织 淋 构 及 运作 的 机 会 。 有 了 关 投 诉 及 处 理 程序 的 事实 、 通 
讯 及 有 关 详 情 的 全 面 而 准确 的 记 多 应 保密 处 理 ; 闻 保 存 一 
段 遂 备 的 时 间 。 竺 金管 局 提出 相关 要 求 时 ， 持 牌 人 应 能 提 
供 有 了 关 记 录 予 金管 局 。 
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附件 


资讯 科技 管控 措施 的 良好 做 法 





资讯 系统 的 开发 及 收购 























(a) 项 目 管 理 








G) 就 主要 科技 术 
框架 。 该 框架 广 明 有 









































昌 关 的 项 目 ( 如 内 部 软 伯 











F 开 发 及 收购 





ber 
届 莫 

















系统 ) 建 立 一 般 管理 


































































































[ 揉 用 及 应 用 於 有 了 关 项 目的 项 目 管理 方法 。 
























































































































































































































































































































































































































































































































































































































































(b) 项 目 发 展 周期 
Q) 揉 纳 站 实施 全 面 的 项 目 发 展 周期 方法 ， 规 管 开 发 、 实 施 及 维修 保障 主 
雷 觅 系统 的 程序 。 
(ii) 有 关 的 项 目 发 展 周期 方法 清楚 界定 项 目 小 组 的 角色 及 责任 ， 以 及 每 个 阶 
段 可 达到 的 目标 。 
(iii) 若 持 脾 人 从 供应 商 收购 软件 套装 组 合 ， 建立 正式 的 软件 套装 组 合 收购 程 
序 ， 以 管理 与 收购 有 关 的 风 除 ， 例 如 过 反 软 件 牧 照 声 议 或 专利 侵权 等 。 
确保 软件 供应 商 为 软件 套装 组 合 提 供 持 镇 维修 保 装 及 足 匆 支援 ， 泪 在 正 
式 合约 内 列 明 有 关 服 务 。 
(iv) 由 独立 人 士 (如 有 需要 ， 在 法 律 及 合 规 部 门 起 助 下 ) 对 主要 科技 相关 的 项 
目 进 行 质 素 保 证 检讨 。 
(c) 保安 要 求 
在 系统 开发 或 收购 初期 ， 清 楚 订 明 保安 要 求 为 业务 要 求 的 一 部 分 。 在 开 
发 期 间 建 立 有 关 保 安 措 施 ， 芝 在 测试 后 实施 。 
(d) 编码 方法 
(i) 人 参考 业内 有 天安 全 并 长 的 公 记 方法， 制定 软件 开发 的 指引 及 标准 。 
(ii) 可 以 风险 为 本 的 方式 实施 源码 检讨 (例如 同业 检讨 及 自动 化 分 析 检讨 ) ， 
作 岛 软件 质 素 保证 程序 的 一 部 分 。 在 系统 自用 前 识别 及 解决 系统 弱点 及 
编码 方法 不 合 规 的 情 沉 。 
(e) 系统 测试 、 验 收 及 还 用 
() 建立 正式 的 测试 及 验收 程序 ; 确保 只 有 经 过 受 善 测试 及 批准 的 系统 才 会 
20222E 信 月 第 四 真 
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推出 至 作业 环境 使 用 。 测 试 葛 
































同 压 力 负载 情况 及 恢复 条 件 下 的 系统 表现 。 








图 应 涵盖 两 业 驶 辑 、 保 安 管控 措施 及 在 不 














GD 维持 独立 的 开发 、 测 试 及 作业 环境 ， 闻 在 测试 环境 中 区 善人 进行 系统 测试 





及 用 





Gj) 作业 数据 除非 已 删除 其 中 的 敏感 数据 ， 3 























己 验 收 测 试 。 


























否则 不 得 用 於 
Gv) 在 系统 局 用 前 





() ”职责 划分 








GD 应 妥善 分 隔 各 资讯 科技 小 和 























开发 或 验收 测试 。 








由 独立 人 士 妥 善 堆 行 渗透 测试 。 


已 事先 取得 资料 所 有 人 的 批准 
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= | 


= 








日 的 职 














~ 












































看 发 的 人 员 不 能 进入 接 建 作业 




















































































































资源 库 及 对 作业 环境 引入 程式 编 措 代码 。 供应 商 进 入 用 户 验 收 测试 环境 
(如 有 需要 ) 受 到 紧密 监察 。 
(g) 终端 用 户 电脑 应 用 
G) 维持 由 终端 用 户 开 发 的 软件 清单 ， 逆 按 需 要 建立 有 关 终 端 用 户 电 脑 应 用 
的 管控 方法 及 责任 ， 例 如 所 有 权 、 开 发 标准 、 数 据 保安 、 文 件 纪 录 、 数 
据 / 档 案 储存 及 备份、 系统 恢复 、 害 计 责任 及 培训 等 。 


资讯 科技 服务 支援 


(h) 问题 管理 


















































G) 建立 问题 管理 
先 次 序 及 加 以 解决 。 清楚 定 明 参与 问题 管 























程序 以 及 时 识别 所 有 资讯 科技 问题 ， 





六 予以 分 类 、 定 出 优 









































喜人 


[强权 




























































































里 程 的 人 员 的 


色 及 。 定 











以 问题 





分 配 及 记录 变更 ， 以 及 对 六 
网 络 系统 及 其 他 资讯 



























































变更 是 妥当 的 ， 以 及 对 作业 环 


















































期 就 过 去 的 事件 进行 趋势 分 析 ， 以 助 识别 及 防 范 烽 
中 ”变更 管理 
@ 一 般 而 言 ， 变 更 管理 是 规划 、 编排 、 应 用 、 

用 系统 、 系 统 软 件 ( 例 如 操作 系统 及 工具 )、 硬件 、 

科技 设施 及 设备 的 变更 进行 实施 后 核实 的 程序 。 制 定 正式 的 变更 管 

序 ， 以 确保 作业 环境 的 完整 性 及 可 靠 性 ， 

境 不 会 造成 任何 不 利 影响 。 此 外 应 建立 管理 紧急 变更 的 1 

备 存 纪 钞 及 认可 安排 )， 以 便 能 及 时 地 在 受 控 情 况 下 
0) 基本 保安 要 求 
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里 程 


























FE 式 程 序 (包括 
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(1) 














并 管控 程序 及 基本 保安 要 求 (包括 操作 系统 、 系 统 软 件 、 数 据 





























和 记过 








及 网 络 睹 置 等 的 所 有 配置 及 设置 ) 备 有 








整 全 及 准确 的 文人 


























寸 遵 保安 设置 是 否 遵守 基本 要 求 。 








ll 


资讯 科技 服务 的 提供 
(k) 内 部 服务 水 平声 广 














GQ) 俱 讯 科技 部 门 管理 
































用 性 及 效能 要 求 、 容 量 增长 肥 提供 予 用 











蝉 僵 各 业务 单位 订立 服务 水 平 规 议 ' 内容 涵盖 系统 可 


库 、 伺 服 











纪录 "定期 检 





下 




















科技 部 门 设 立 周 全 的 程序 ， 对 提供 议定 的 技术 文 援 及 服务 作出 管理 。 




















户 的 支援 水 平等 。 由 负责 的 资讯 























人 和 














() ”系统 可 用 性 及 容量 管 
































G) 实施 有 效 程序 ， 








报 例外 情况 。 





确保 系统 可 用 性 及 表现 持续 得 到 监察 











GD 除 作业 环境 外 ， 














资讯 科技 操作 
(m) 工作 编排 





G) 最 初 的 工作 编排 对 已 编排 工作 的 更 改 应 经 





























容量 规划 应 延伸 至 人 备用 系统 及 相关 设施 。 














查 及 批准 偏离 标准 工作 编排 的 情况 。 

















(n) 弱 用 及 修补 程式 管理 




















G) 运用 目 动 化 工具 及 人 手 方 法 ' 定 


本 的 对 外 系统 ， 





: 普及 时 和 全 面 汇 





























本 





遂 刍 授权 ， 交 有 程序 识 列 、 调 

































































弱 是 评估 的 邢 转 包括 汕 网 的 互联 网 弱 是 。 
































(jj 制定 修补 程式 管理 程序 ， 以 涵盖 保安 修补 程式 的 识别 、 
































及 安装 。 和 为 能 及 时 实施 保安 修补 程式 ， 
按 其 重要 程度 及 对 系统 的 影响 界定 。 











(0) 保安 监察 及 洪 报 





















































G) 实施 保安 监察 工具 ， 以 : 

















期 进行 全 面 的 屁 点 评估 。 就 以 互联 网 岛 


分 类 、 优先 次 序 





每 类 保安 修补 程式 的 实施 时 限 


























。 按照 持 牌 人 界定 的 记 和 你 保存 政策 个 








的 记录 k， 以 便 调 查 (如 有 需要 ) ， 
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FR 存 系统 、 应 用 程式 及 





人 侍 


A 








Tt 








辣 络 执 置 
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。 监察 关键 配 置 及 保安 设置 ， 以 识别 对 有 天 设置 的 未 经 授权 变更 ， 
以 及 阻截 次 讯 科 技 资 产 的 要 党 情况， 例如 暴 澡 的 用 户 行为 、 贾 党 
的 系统 程序 及 记 做 体 存 取 及 对 妆 置 的 恶意 回调 ; 













































































。 就 关键 系统 及 应 用 程序 的 保安 记 系 及 事故 人 进行 即时 分 析 ， 半 
侦 测 任何 潜在 攻击 ， 以 及 





速 


尚 































































































。 仔 何 惊 疑 或 已 确认 的 过 规 情 帝 必须 交 回 事件 处理 组 受 为 不 理 、 上 
报 及 鹿 报 。 


(p) 资讯 科技 设施 及 设备 的 保 芍 







































































G) 资讯 科技 设施 及 设备 按照 业内 惯例 及 供应 丙 建 议 的 保养 时 间 及 规格 维 
修 保 改 ， 以 确保 有 关 设 施 及 设备 得 到 妥善 支援 。 




































































(q) 流动 资讯 处理 





























GO 若 持 有 牌 人 为 其 候 员 提供 流动 装置 ,应 订 有 涵盖 征用 、 认 证 、 强 化 、 加 密 、 
数据 备份 及 保存 等 范围 的 政策 及 程序 
































加 > 



































(i 知 持 牌 人 正 考虑 探 催 目 搬 半 置 的 做 法 ， 应 广 明 揉 纳 目 揣 天 置 的 箔 围 、 可 
存 取 的 资料 及 所 存 取 的 数据 的 保密 性 ， 革 按照 本 《应 用 府 明 》 所 载 的 科 
技 风险 管理 框 洒 进行 风险 评估 。 
网 络 及 基础 设施 管理 


G 网 络 管理 
























































































































































GD 明确 指派 具备 有 关 专 上门 知 识 的 人 员 和 负责 网 络 管理 。 网 络 标准 、 设 半 
表 及 操作 程序 有 正式 文件 记 钞 、 保 持 更 新 、 伟 过 了 予 所 有 相关 网 络 员工 及 
定期 检讨 。 































































































(i) 识 卉 对 持续 提供 网络 服务 属 关 键 的 通讯 设施 。 一 旦 关键 点 或 连 络 发 生 故 
障 ， 自 动 经 由 其 他 路 径 通 讯 ， 以 将 单 点 故障 的 情况 减 至 最 少 。 






























































(s) 网 络 保安 























GD 建立 安全 的 网 铬 基础 设施 文 援 其 系统 。 和 为 防范 与 持 牌 人 网 络 的 不 安全 寻 
接 ， 建立 及 实施 有 了 关 使 用 网络 及 网 络 服 务 的 程序 。 有 了 关 程 序 涵盖 : 
























































。 可 用 的 网 络 及 网 络 服务 ， 
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。 决定 哪些 人 士 可 ; 











保障 连 授 网 络 接 肢 














GD 考 龟 分 隔 内 部 和 
的 系统 。 


网 络 岛 不 同和 








Ga) 定 期 检讨 路 由 器 、 防 火 慌 及 名 











连接 特定 名 
是 、 
国 段 ， 








网 络 及 和 








网 络 连 接 及 和 





普 计 及 每 个 有 














疾 络 服务 的 管控 措 














四 络 伺服 器 等 


同 络 天 置 的 保 














确保 有 了 关 设 
计 纪 全 





























站 即时 向 








设置 仍然 通用 。 伴 存 及 定 
疾 络 操作 人 员 发 出 有 关 湾 在 违反 人 人 








期 审视 局 








目 鱼 有 














国 段 所 储 取 的 数据 或 所 舌 


网 络 服务 的 授权 程序 ， 以 及 


施 及 程序 。 
接 








安 参 数 设置 ， 以 


国 络 绪 置 的 每 





日 活动 的 审 

















a 



































(iv) 受 善 使 用 加 密 拉 术 及 网 络 


BE 经 工具 ， 


“HO 和 





涵盖 外 音 








品名 


3 





及 PF 











妈 























人 
三 > 
El 








(0) ”数据 中 心 








G 就 数据 中 心 进 
对 数据 中 心 的 











呆 障 提 


人 小 











GD 就 实际 进入 持 
人 数据 中 心 的 权利 ， 下 定 









































有 网络、 三 第 三 方 的 通讯 渠道 及 外 部 


行 风险 评估 ， 以 识别 有 
首 施 是 否定 钢 。 


寺 牌 人 的 数据 中 心 实施 周 





四 络 内 的 敏感 资料 。 















































基 害 视 。 知 持 牌 人 使 用 多 租 





全 的 保 


党 控 





7 全 
3 


下 女 车 
































桨 讯 科技 设备 的 情况。 
资讯 科技 外 判 


(CD 外 判 资讯 科技 至 境外 闪 事 处 











G) 知 持 牌 人 就 革 些 次 讯 科技 管控 措 




















办 事 处 (例如 母 公 
或 与 其 境外 办 事 处 





` 附属 公 





可 



































(v) 其 他 技术 服务 提供 者 的 管理 

















合作 ， 本 地 及 境外 闪 
需 文 件 (例如 政策 、 程 序 、 外 判 及 /或 服务 水 平声 议 ) 清 茎 列 





可 、 





2 








峰 络 ， 


天 保安 威 锋 及 操作 轮 点 ， 以 及 评估 





事项 的 提示 。 





以 保障 内 部 








: 只 按 需要 授 给 予 进 
期 予以 检讨 。 伴 存 进 入 数据 中 心 的 记录 ， 
己 数据 中 心 ， 





亚 定 


别 留 意 防范 未 经 授权 使 用 











施 或 支援 活动 的 外 判 安排 倚赖 
总 办 事 处 或 同 集团 的 其 他 地 区 办 事 不) 








其 ] 


2 



































不 各 自 就 有 

















G) 除 资讯 科技 外 判 外 ' 持 牌 人 可 能 





SI 


网 支 授 及 服务 (例如 电讯 及 儿 











全 [大 十 苯 
会 倚 囊 











峰 络 操作 员 )。 制定 有 














主要 外 部 技术 服务 提供 者 的 指引 ， 

















77 已 己 








入 服务 。 











2022 年 


Ow 











情况 核准 情况 ， 以 及 需要 避免 过 








外 部 授 术 服务 提 舍 





关东 团 


的 喜 任 在 




















共 者 











莉 提供 技术 相 


明 。 

















需 如 何 管理 

















不 同类 刑 的 


包括 服务 提供 者 甄选 程序 、 重 大 例外 














下 








度 从 


技术 服务 提 信 





半 老 


«7 

















名 提供 关键 技 
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(w) 特别 留意 云端 资讯 不 



































G 和 才 闹 资讯 处 理 普 记 被 视 为 次 讯 科技 外 判 ， 持 牌 人 各 打算 探 用 或 已 探 用 才 
端 资讯 处 理 服务 




























































































' 应 遵守 有 了 关 指 引文 件 ， 以 及 政府 组 织 不 时 发 出 的 任何 
有 了 关 指 引 或 最 佳 做 法 。 
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